思科五个高危漏洞风险通告
发布时间 2020-02-06漏洞编号和级别
CVE编号:CVE-2020-3120,危险级别:高危,CVSS分值:厂商自评:7.4,官方未评定
CVE编号:CVE-2020-3119,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
CVE编号:CVE-2020-3118,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
CVE编号:CVE-2020-3111,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
CVE编号:CVE-2020-3110,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
影响版本
路由器:
ASR 9000系列聚合服务路由器
运营商路由系统(CRS)
Firepower 1000系列
Firepower 2100系列
Firepower 4100系列
Firepower 9300安全设备
IOS XRv 9000路由器
运行思科IOS XR的白盒路由器
交换机:
Nexus 1000虚拟边缘
Nexus 1000V交换机
Nexus 3000系列交换机
Nexus 5500系列交换机
Nexus 5600系列交换机
Nexus 6000系列交换机
Nexus 7000系列交换机
Nexus 9000系列光纤交换机
MDS 9000系列多层交换机
网络融合系统(NCS)1000系列
网络融合系统(NCS)5000系列
网络融合系统(NCS)540路由器
网络融合系统(NCS)5500系列
网络融合系统(NCS)560路由器
网络融合系统(NCS)6000系列
UCS 6200系列交换矩阵互联
UCS 6300系列交换矩阵互联
UCS 6400系列交换矩阵互联
IP电话机:
IP会议电话机7832
IP会议电话机8832
IP电话机6800系列
IP电话机7800系列
IP电话机8800系列
IP电话机8851系列
统一IP会议电话机8831
无线IP电话机8821
无线IP电话机8821-EX
IP摄像头:
视频监控8000系列IP摄像头
漏洞概述
安全研究员披露了广泛部署于思科发现协议 (CDP) 中的五个高危漏洞。这些漏洞是由物联网网络安全公司 Armis 发现的,被命名为“CDPwn”,影响的是思科专有协议 CDP。该协议可允许思科设备通过多播消息互相分享消息,它实现于大量主流思科产品中,自20世纪90年代起被使用。该协议并未广为人知,因为它并未暴露在互联网上而且仅在本地网络中运行。
要利用这些漏洞,攻击者首先需要在本地网络中立足。入口点可以是任何事物如物联网设备。黑客能够使用这个入口设备播报恶意 CDP 信息并接管思科设备。这里的主要目标是思科路由器、交换机和防火墙,它们持有思科整个网络的密钥,默认启用 CDP。
这些 CDPwn 漏洞虽然无法用于从互联网远程破解组织机构的安全网络,它可被用于提升初始访问权限、接管关键点如路由器和交换机来删除网络分段并在公司网络横向移动以攻击其它设备。CDP 还在其它思科产品中交付并默认启用如 VoIP 电话和 IP 摄像头。CDPwn 攻击也可被用于攻击这些设备。攻击者还能够利用 CDPwn 接管易受攻击的设备如电话和安全摄像头、安装恶意软件、提取数据或甚至窃听通话和视频内容。
CDPwn由五个漏洞组成,包括四个远程代码执行(RCE)漏洞,第五个漏洞是拒绝服务(DoS)漏洞,概述如下:
思科NX-OS软件—思科发现协议远程代码执行漏洞(CVE-2020-3119)
该漏洞是一个堆栈溢出漏洞,存在于IOS XR实施的CDP中解析含有对以太网供电(PoE)请求字段进行协商的信息的CDP数据包这个环节。含有太多PoE请求字段的CDP数据包将在受影响的设备上触发该漏洞。攻击者可以使用合法的CDP数据包来利用该漏洞,只要合法数据包的功率级别高于交换机本该收到的总功率级别,从而导致堆栈溢出。通过利用该漏洞,攻击者可以全面控制交换机及其负责的那部分网络基础设施,从而破坏分段,并允许在VLAN之间进行跳跃。
思科IOS-XR—CDP格式字符串漏洞(CVE-2020-3118)
该漏洞是一种格式字符串漏洞,存在于IOS XR实施的CDP中解析入站CDP数据包的某些字符串字段(设备ID和端口ID等)这个环节。这个漏洞使攻击者可以控制传递给sprintf函数的格式字符串参数。使用某些的格式字符串字符,攻击者可以将受控字节写入越界堆栈(out-of-bounds stack)变量,这实际上导致堆栈溢出。然后,这种类型的溢出导致远程执行代码。使用该漏洞,攻击者可以全面控制目标路由器,在网段之间传输流量,并使用路由器实行后续攻击。
思科IP语音电话机—CDP远程执行和拒绝服务漏洞(CVE-2020-3111)
思科IP电话机利用CDP进行管理,包括配置电话机应连接到哪个VLAN。电话机还可以请求特定的PoE参数,与它相连接的交换机可以使用CDP启用或禁用那些参数。在该漏洞中,可以利用端口ID解析函数中的堆栈溢出,在电话机上执行代码。虽然CDP数据包由网络中每个支持CDP的交换机终止,但IP电话机实施的CDP存在另一个bug:单播和广播CDP数据包也被视为合法的CDP数据包。
只有被发送到一个指定的多播MAC地址,其他所有思科网络设备才会将以太网数据包解读为合法的CDP数据包。这意味着,为了在IP电话机上触发该漏洞,攻击者可以处于本地网络中的任何位置,而不仅限于直接从目标设备相连接的接入交换机内部发送恶意制作的CDP数据包。
此外,由于IP电话机还将广播CDP数据包解读为合法的CDP数据包,攻击者就可以发送以太网广播数据包,这会触发该漏洞,同时对同一个LAN上的所有高危设备发动DoS攻击。
思科视频监控8000系列IP摄像头—思科发现协议远程代码执行和拒绝服务漏洞(CVE-2020-3110)
该漏洞是一个堆溢出漏洞,存在于思科8000系列IP摄像头实施的CDP中解析CDP数据包这个环节。入站CDP数据包中提供过大的端口ID字段时,会引发这个堆溢出。堆溢出含有攻击者控制的字节,可由攻击者多次触发。此外,IP摄像头中使用的CDP守护程序是与位置无关的二进制文件,这意味着它并不使用ASLR(地址空间布局随机化)缓解措施。由于上述情形,攻击者可以利用该溢出、实现远程代码执行。
思科FXOS、IOS XR和NX-OS软件—思科发现协议拒绝服务漏洞(CVE-2020-3120)
只要使路由器或交换机的CDP守护程序分配导致进程崩溃的大段内存,可触发该漏洞。借助该漏洞,攻击者可导致CDP进程反复崩溃,进而导致路由器重启。这意味着攻击者可以利用该漏洞对目标路由器实施全面的DoS攻击,进而完全破坏目标网络。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://tools.cisco.com/security/center/publicationListing.x。
参考链接
https://www.armis.com/cdpwn/
京公网安备11010802024551号