Het Cisco Discovery Protocol (CDP) maakt apparaten kwetsbaar voor remote code execution en DoS aanvallen
Bronnen
- https://tools.cisco.com/security/center/publicationListing.x
- https://www.armis.com/cdpwn/
- https://www.bleepingcomputer.com/news/security/cisco-patches-critical-cdp-flaws-affecting-millions-of-devices/
Risico’s
Alle apparaten die het Cisco Discovery Protocol (CDP) gebruiken, zijn kwetsbaar. Het is belangrijk om te weten dat het CDP protocol standaard geactiveerd wordt op alle betrokken apparaten.
CVE-2020-3110, CVE-2020-3111, CVE-2020-3118 en CVE-2020-3119
Deze kwetsbaarheden stellen een aanvaller in staat om via het lokale netwerk een denial of service (DoS) aanval uit te voeren door het kwetsbare apparaat opnieuw op te starten via het CDP protocol. Een aanvaller kan ook vanop afstand code uitvoeren door een kwaadaardig, niet-geauthenticeerd CDP-pakket te sturen naar het kwetsbare apparaat.
CVE-2020-3120
Deze kwetsbaarheid stelt een aanvaller op afstand in staat om op het lokale netwerk een denial of service aanval uit te voeren door het kwetsbare apparaat opnieuw op te starten via het CDP protocol.
Beschrijving
Het Cisco Discovery Protocol (CDP) is een op maat ontwikkeld layer-2 netwerkprotocol dat door Cisco-apparaten wordt gebruikt om informatie te verzamelen over apparaten die zijn aangesloten op het netwerk. Armis Security ontdekte dat CDP-ondersteunde apparaten kwetsbaar zijn voor een heap overflow kwetsbaarheid in Cisco IP-camera's (CVE-2020-3110) en stack overflow kwetsbaarheden in Cisco VoIP-apparaten (CVE-2020-3111). Er is ook een format string stack overflow kwetsbaarheid (CVE-2020-3118), een stack overflow- en willekeurige schrijf kwetsbaarheid (CVE-2020-3119) en een resource exhaustion denial-of-service kwetsbaarheid (CVE-2020-3120) in Cisco NX-OS-switches en Cisco IOS XR Routers, onder andere.
Deze kwetsbaarheden kunnen een aanvaller op het lokale netwerk in staat stellen om code uit te voeren, of een denial of service te veroorzaken (kan ook op afstand worden geëxploiteerd). De CVE-2020-3120 kan een aanvaller bovendien in staat stellen om op afstand code uit te voeren.
Aanbevolen acties
Cisco heeft een patch beschikbaar gesteld voor elke kwetsbaarheid. CERT.be raadt aan om deze patches zo snel mogelijk, en na grondig te testen, te installeren. Deze patches kunnen gedownload worden van de Cisco Website.