Las vulnerabilidades de CDPwn afectan a decenas de millones de dispositivos empresariales


(incrustar) https://www.youtube.com/view?v=nYtDJlzU-ao (/ incrustar)

Los investigadores de seguridad han revelado hoy detalles sobre cinco vulnerabilidades en el ampliamente implementado Cisco Discovery Protocol (CDP).

Las vulnerabilidades, identificadas por la firma de ciberseguridad de IoT Armis, han sido colectivamente nombradas en código CDPwn.

Afectan a CDP, un protocolo propietario de Cisco que permite que los dispositivos Cisco compartan información entre sí a través de mensajes de multidifusión (distribuidos dentro de una purple area).

El protocolo CDP se implementa en la gran mayoría de los productos de Cisco, y ha estado en uso desde mediados de los 90. No es un protocolo conocido porque no está expuesto en Internet y funciona solo dentro de las redes locales.

Los errores de CDPwn pueden hacerse cargo de los dispositivos Cisco

En un informe publicado hoy, Armis dice que el protocolo CDP se ve afectado por cinco vulnerabilidades, cuatro de las cuales son problemas de «ejecución remota de código» (RCE) que pueden permitir a un atacante hacerse cargo del equipo de Cisco que ejecuta implementaciones vulnerables del conjunto de protocolos CDP. El quinto es un problema de denegación de servicio (DoS) que se puede utilizar para bloquear dispositivos.

Lo bueno es que los ataques no se pueden montar a través de Internet. Como se explicó anteriormente, el protocolo CDP funciona solo dentro de las redes locales, en la capa de enlace de datos, y no está expuesto en la interfaz WAN de un dispositivo, a través de la cual provienen la mayoría de los ataques de Internet.

Para explotarlo, los atacantes primero necesitan un punto de apoyo dentro de una purple nearby, dijo Ben Seri, vicepresidente de investigación de Armis. ZDNet Ayer en un correo electrónico.

El punto de entrada puede ser cualquier cosa, como un dispositivo IoT. Los hackers pueden usar este dispositivo de entrada para transmitir mensajes CDP malformados dentro de una crimson community y hacerse cargo del equipo de Cisco.

El objetivo principal aquí serían los enrutadores, conmutadores y firewalls de Cisco, que contienen las claves de toda la red de una empresa y que se envían con CDP habilitado de forma predeterminada.

Las vulnerabilidades de CDPwn, aunque no se pueden usar para acceder de forma remota a la pink segura de una organización desde Internet, se pueden usar como una forma de escalar el acceso inicial, hacerse cargo de puntos clave como enrutadores y conmutadores para eliminar la segmentación de la red, y luego moverse lateralmente dentro de la red de una empresa para atacar a otros dispositivos.

(incrustar) https://www.youtube.com/look at?v=uIQJQ5equvU (/ incrustar)

Pero CDP también se envía y está habilitado de manera predeterminada dentro de otros productos de Cisco, como teléfonos VoIP y cámaras IP. El ataque CDPwn también se puede usar contra estos dispositivos, dijo Armis.

Los atacantes pueden usar CDPwn para hacerse cargo de los equipos vulnerables como teléfonos y cámaras de seguridad, instalar malware, filtrar datos o incluso espiar llamadas y transmisiones de video clip.

(incrustar) https://www.youtube.com/view?v=dJpgoLilZQY (/ incrustar)

Según Armis, CDPwn afecta todos los enrutadores Cisco que ejecutan el sistema operativo IOS XR, todos los conmutadores Nexus, los firewalls Cisco Firepower, los sistemas Cisco NCS, todas las cámaras IP Cisco 8000 y todos los teléfonos Cisco 7800 y 8800 VOIP.

«Desafortunadamente, la mayoría de las vulnerabilidades RCE (CDPwn) que descubrimos son vulnerabilidades simples de desbordamiento de pila o pila, por lo que la explotación es completamente posible, y pudimos llegar a RCE en exploits de demostración que hemos desarrollado», dijo Seri ZDNet.

«En algunos de los dispositivos afectados, existen ciertas mitigaciones para evitar que estos desbordamientos sean explotables, pero desafortunadamente estas mitigaciones son solo parciales y podrían subvertirse», agregó.

Parches están disponibles

Seri dijo ZDNet que Armis ha contactado a Cisco sobre sus descubrimientos meses antes. Cisco, por su crédito, ha trabajado para reparar todas las vulnerabilidades de CDPwn.

Se espera que el gigante de las redes libere parches más tarde hoy en su portal world wide web de seguridad. La lista exacta de vulnerabilidades de CDPwn es:

  • Cisco FXOS, IOS XR y NX-OS Software program Cisco Discovery Protocol Vulnerabilidad de denegación de servicio, (CVE-2020-3120)
  • Application Cisco NX-OS Vulnerabilidad de ejecución remota de código del protocolo de descubrimiento de Cisco, (CVE-2020-3119)
  • Computer software Cisco IOS XR Vulnerabilidad de cadena de formato del protocolo de descubrimiento de Cisco, (CVE-2020-3118)
  • Vulnerabilidad de ejecución remota de código de teléfono IP de Cisco y denegación de servicio, (CVE-2020-3111)
  • Cámaras IP de Cisco Online video Surveillance serie 8000 Protocolo de descubrimiento de Cisco Vulnerabilidad de ejecución remota de código y denegación de servicio, (CVE-2020-3110)

Pero también hay situaciones en las que los administradores del sistema no pueden aplicar parches tan pronto como estén disponibles. En estos casos, también existen algunas mitigaciones temporales.

«Si es posible, deshabilitar el Cisco Discovery Protocol (CDP) debería evitar que estas vulnerabilidades sean explotables», dijo Seri ZDNet.

«La desactivación de CDP puede no ser una posibilidad para algunos usuarios empresariales, por lo que la siguiente mejor manera de mitigar el riesgo de un exploit es obtener visibilidad del comportamiento del dispositivo para monitorear e identificar actividades anómalas», agregó Seri.

«Pero la mejor solución es siempre parchear lo más rápido posible».



Enlace a la noticia first