Cisco Discovery Protocol (CDP) enabled devices vulnerable to remote code execution and to denial-of-service attacks
Sources
- https://tools.cisco.com/security/center/publicationListing.x
- https://www.armis.com/cdpwn/
- https://www.bleepingcomputer.com/news/security/cisco-patches-critical-cdp-flaws-affecting-millions-of-devices/
- https://www.zdnet.fr/actualites/les-vulnerabilites-cdpwn-affectent-des-dizaines-de-millions-d-appareils-d-entreprise-39898683.htm
Risques
Ces vulnérabilités affectent les appareils dont le protocole CDP est activé. Il est important de souligner que pour tous les appareils concernés, CDP est activé par défaut.
Les CVE-2020-3110, CVE-2020-3111, CVE-2020-3118 et CVE-2020-3119 : ces vulnérabilités pourraient permettre à un acteur malveillant sur le réseau local de provoquer un déni de service en redémarrant le périphérique exécutant CDP. Un acteur malveillant pourrait également exécuter du code à distance en envoyant un paquet CDP artificiel non authentifié au périphérique ciblé.
CVE-2020-3120 : cette vulnérabilité pourrait permettre à un acteur malveillant sur le réseau local de provoquer un déni de service en faisant redémarrer le périphérique ciblé.
Description
Le protocole de découverte Cisco (CDP) est un protocole de réseau de la couche liaison propriétaire que les appareils Cisco utilisent pour recueillir des informations sur les appareils connectés au réseau. Armis Security a constaté que les dispositifs utilisant le protocole CDP sont vulnérables au débordement de mémoire tampon (buffer overflow) dans les caméras IP Cisco (CVE-2020-3110) ainsi que dans les dispositifs VoIP Cisco (CVE-2020-3111).
Il existe également une vulnérabilité de type String buffer overflow (CVE-2020-3118), une vulnérabilité de type buffer overflow avec droit en écriture (CVE-2020-3119) et une vulnérabilité au déni de service par épuisement des ressources (CVE-2020-3120) dans les commutateurs NX-OS Cisco et les routeurs XR IOS Cisco.
Ces vulnérabilités pourraient permettre à un acteur malveillant sur le réseau local d'exécuter du code ou de provoquer un déni de service (peut également être exploité à distance avec un effort supplémentaire de la part de l'acteur malveillant). Le CVE-2020-3120, en outre, pourrait permettre à un acteur malveillant d'exécuter du code à distance.
Actions recommandées
Cisco a publié un correctif pour chacune de ces vulnérabilités. Le CERT.be recommande d'appliquer ces correctifs dès que possible. Les correctifs peuvent être téléchargés à partir du site de Cisco.