首頁 > 安全研究 > 安全通報 > 安全通告

思科五個高危漏洞風險通告

發布時間 2020-02-06

漏洞編號和級別


CVE編號:CVE-2020-3120,危險級別:高危,CVSS分值:廠商自評:7.4,官方未評定

CVE編號:CVE-2020-3119,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定

CVE編號:CVE-2020-3118,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定

CVE編號:CVE-2020-3111,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定

CVE編號:CVE-2020-3110,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定


影響版本


路由器:


ASR 9000系列聚合服務路由器

運營商路由系統(CRS)

Firepower 1000系列

Firepower 2100系列

Firepower 4100系列

Firepower 9300安全設備

IOS XRv 9000路由器

運行思科IOS XR的白盒路由器


交換機:


Nexus 1000虛擬邊緣

Nexus 1000V交換機

Nexus 3000系列交換機

Nexus 5500系列交換機

Nexus 5600系列交換機

Nexus 6000系列交換機

Nexus 7000系列交換機

Nexus 9000系列光纖交換機

MDS 9000系列多層交換機

網絡融合系統(NCS)1000系列

網絡融合系統(NCS)5000系列

網絡融合系統(NCS)540路由器

網絡融合系統(NCS)5500系列

網絡融合系統(NCS)560路由器

網絡融合系統(NCS)6000系列

UCS 6200系列交換矩陣互聯

UCS 6300系列交換矩陣互聯

UCS 6400系列交換矩陣互聯


IP電話機:


IP會議電話機7832

IP會議電話機8832

IP電話機6800系列

IP電話機7800系列

IP電話機8800系列

IP電話機8851系列

統一IP會議電話機8831

無線IP電話機8821

無線IP電話機8821-EX


IP攝像頭:


視頻監控8000系列IP攝像頭


漏洞概述


安全研究員披露了廣泛部署于思科發現協議 (CDP) 中的五個高危漏洞。這些漏洞是由物聯網網絡安全公司 Armis 發現的,被命名為“CDPwn”,影響的是思科專有協議 CDP。該協議可允許思科設備通過多播消息互相分享消息,它實現于大量主流思科產品中,自20世紀90年代起被使用。該協議并未廣為人知,因為它并未暴露在互聯網上而且僅在本地網絡中運行。


要利用這些漏洞,攻擊者首先需要在本地網絡中立足。入口點可以是任何事物如物聯網設備。黑客能夠使用這個入口設備播報惡意 CDP 信息并接管思科設備。這里的主要目標是思科路由器、交換機和防火墻,它們持有思科整個網絡的密鑰,默認啟用 CDP。


這些 CDPwn 漏洞雖然無法用于從互聯網遠程破解組織機構的安全網絡,它可被用于提升初始訪問權限、接管關鍵點如路由器和交換機來刪除網絡分段并在公司網絡橫向移動以攻擊其它設備。CDP 還在其它思科產品中交付并默認啟用如 VoIP 電話和 IP 攝像頭。CDPwn 攻擊也可被用于攻擊這些設備。攻擊者還能夠利用 CDPwn 接管易受攻擊的設備如電話和安全攝像頭、安裝惡意軟件、提取數據或甚至竊聽通話和視頻內容。


CDPwn由五個漏洞組成,包括四個遠程代碼執行(RCE)漏洞,第五個漏洞是拒絕服務(DoS)漏洞,概述如下:


思科NX-OS軟件—思科發現協議遠程代碼執行漏洞(CVE-2020-3119)


該漏洞是一個堆棧溢出漏洞,存在于IOS XR實施的CDP中解析含有對以太網供電(PoE)請求字段進行協商的信息的CDP數據包這個環節。含有太多PoE請求字段的CDP數據包將在受影響的設備上觸發該漏洞。攻擊者可以使用合法的CDP數據包來利用該漏洞,只要合法數據包的功率級別高于交換機本該收到的總功率級別,從而導致堆棧溢出。通過利用該漏洞,攻擊者可以全面控制交換機及其負責的那部分網絡基礎設施,從而破壞分段,并允許在VLAN之間進行跳躍。


思科IOS-XR—CDP格式字符串漏洞(CVE-2020-3118)


該漏洞是一種格式字符串漏洞,存在于IOS XR實施的CDP中解析入站CDP數據包的某些字符串字段(設備ID和端口ID等)這個環節。這個漏洞使攻擊者可以控制傳遞給sprintf函數的格式字符串參數。使用某些的格式字符串字符,攻擊者可以將受控字節寫入越界堆棧(out-of-bounds stack)變量,這實際上導致堆棧溢出。然后,這種類型的溢出導致遠程執行代碼。使用該漏洞,攻擊者可以全面控制目標路由器,在網段之間傳輸流量,并使用路由器實行后續攻擊。


思科IP語音電話機—CDP遠程執行和拒絕服務漏洞(CVE-2020-3111)


思科IP電話機利用CDP進行管理,包括配置電話機應連接到哪個VLAN。電話機還可以請求特定的PoE參數,與它相連接的交換機可以使用CDP啟用或禁用那些參數。在該漏洞中,可以利用端口ID解析函數中的堆棧溢出,在電話機上執行代碼。雖然CDP數據包由網絡中每個支持CDP的交換機終止,但IP電話機實施的CDP存在另一個bug:單播和廣播CDP數據包也被視為合法的CDP數據包。


只有被發送到一個指定的多播MAC地址,其他所有思科網絡設備才會將以太網數據包解讀為合法的CDP數據包。這意味著,為了在IP電話機上觸發該漏洞,攻擊者可以處于本地網絡中的任何位置,而不僅限于直接從目標設備相連接的接入交換機內部發送惡意制作的CDP數據包。


此外,由于IP電話機還將廣播CDP數據包解讀為合法的CDP數據包,攻擊者就可以發送以太網廣播數據包,這會觸發該漏洞,同時對同一個LAN上的所有高危設備發動DoS攻擊。


思科視頻監控8000系列IP攝像頭—思科發現協議遠程代碼執行和拒絕服務漏洞(CVE-2020-3110)


該漏洞是一個堆溢出漏洞,存在于思科8000系列IP攝像頭實施的CDP中解析CDP數據包這個環節。入站CDP數據包中提供過大的端口ID字段時,會引發這個堆溢出。堆溢出含有攻擊者控制的字節,可由攻擊者多次觸發。此外,IP攝像頭中使用的CDP守護程序是與位置無關的二進制文件,這意味著它并不使用ASLR(地址空間布局隨機化)緩解措施。由于上述情形,攻擊者可以利用該溢出、實現遠程代碼執行。


思科FXOS、IOS XR和NX-OS軟件—思科發現協議拒絕服務漏洞(CVE-2020-3120)


只要使路由器或交換機的CDP守護程序分配導致進程崩潰的大段內存,可觸發該漏洞。借助該漏洞,攻擊者可導致CDP進程反復崩潰,進而導致路由器重啟。這意味著攻擊者可以利用該漏洞對目標路由器實施全面的DoS攻擊,進而完全破壞目標網絡。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://tools.cisco.com/security/center/publicationListing.x。


參考鏈接


https://www.armis.com/cdpwn/


上一篇 下一篇