Cisco está emitiendo parches para cinco vulnerabilidades críticas que se han descubierto en Cisco Discovery Protocol (CDP), la capa de intercambio de información que asigna todos los equipos de Cisco en una red.

Los investigadores de Armis dicen que las vulnerabilidades, que revelaron el miércoles y colectivamente denominadas CDPwn, pueden permitir a los atacantes con un punto de apoyo existente en la red romper los esfuerzos de segmentación de la red y hacerse con el control remoto de millones de dispositivos.

CDP es un protocolo de red de Capa 2 patentado por Cisco que se utiliza para descubrir información sobre equipos Cisco conectados localmente. CDP ayuda a mapear la presencia de otros productos de Cisco en la red y se implementa en prácticamente todos los productos de Cisco, incluidos conmutadores, enrutadores, teléfonos IP y cámaras IP. Muchos de estos dispositivos no pueden funcionar correctamente sin CDP y no ofrecen la capacidad de apagarlo, según los investigadores.

Las fallas existen específicamente en el análisis de paquetes CDP, dentro de la implementación del protocolo en varios productos de Cisco, desde su software IOS XR hasta cámaras IP. Cisco emitió parches el miércoles para abordar los cinco defectos, y está instando a los usuarios a actualizar lo antes posible.

«Hay infinitos tipos de protocolos de capa 2, y CDP es uno de ellos», dijo a Threatpost Ben Seri, vicepresidente de investigación de Armis. “Pero en realidad hay una superficie de ataque muy grande allí, que se ha descuidado. Creo que la comunidad de investigadores necesita hacer más para analizar estos protocolos. Y la segmentación de la red, al final del día, es una solución sólida para IoT [Internet de las cosas], y otros problemas de seguridad se resuelven, pero debemos asegurarnos de que realmente se mantenga firme contra todo tipo de ataques «.

Un portavoz de Cisco dijo a Threatpost que Cisco no tiene conocimiento de ningún «uso malicioso» de los defectos en la naturaleza.

«La transparencia en Cisco es una cuestión de máxima prioridad», dijo el portavoz a Threatpost. “Cuando surgen problemas de seguridad, los manejamos de manera abierta y rápida, para que nuestros clientes entiendan el problema y cómo abordarlo. El 5 de febrero, revelamos vulnerabilidades en la implementación del Protocolo de descubrimiento de Cisco de varios productos de Cisco junto con información y mitigaciones de arreglos de software, donde estén disponibles «.

Los defectos

El ataque viene con una advertencia: requiere que el atacante ya tenga algún punto de apoyo dentro de la red, a través de un dispositivo Cisco previamente comprometido, dijo Seri a Threatpost.

«Por lo tanto, no es un ataque que necesariamente proviene de Internet», dijo Seri a Threatpost. «El atacante debe tener algún acceso, pero si tiene un dispositivo IoT de muy bajo grado dentro de la red, parte de su modelo de amenaza ya es que estos dispositivos podrían verse comprometidos».

Después de comprometer un dispositivo Cisco vulnerable, un atacante podría enviar un paquete CDP creado con fines malintencionados a otro dispositivo Cisco ubicado dentro de la red. Hay cinco vulnerabilidades en total, cuatro de las cuales son vulnerabilidades críticas de ejecución remota de código (RCE), y una es una vulnerabilidad de denegación de servicio (DoS).

El primer defecto de RCE ( CVE-2020-3118 ) es un defecto de cadena de formato en el análisis de ciertos campos (es decir, ID de dispositivo) para los paquetes CDP entrantes en la implementación de CDP para el sistema operativo de interconexión de redes de Cisco (IOS XR). IOS XR se utiliza para sus enrutadores de nivel de operador del Sistema de convergencia de red (NCS).

Un atacante podría usar ciertos caracteres de cadena de formato para causar un desbordamiento de la pila, lo que finalmente conduciría a RCE. Los investigadores dijeron que un atacante podría explotar esta falla para «obtener el control total sobre el enrutador objetivo para atravesar segmentos de red y usar el enrutador para ataques posteriores».

El segundo defecto de RCE ( CVE-2020-3119 ) es una vulnerabilidad de desbordamiento de pila que se deriva del análisis de paquetes CDP en Cisco NX-OS, un sistema operativo de red para los conmutadores Ethernet de la serie Nexus de Cisco y el área de almacenamiento Fibre Channel de la serie MDS conmutadores de red. Un atacante puede explotar esta falla utilizando un paquete CDP legítimo con niveles de potencia asimétricos (es decir, por encima del nivel de potencia que se puede aceptar) y causar un desbordamiento de la pila en los conmutadores, obteniendo así el control total.

Otro defecto de RCE es un desbordamiento de pila ( CVE-2020-3110 ) que existe en el análisis de paquetes CDP en la implementación de CDP para las cámaras IP de Cisco Video Surveillance serie 8000. Se produce cuando un atacante envía un paquete CDP con un «campo de ID de puerto demasiado grande».

La falla final de RCE existe en la implementación de CDP en los teléfonos Cisco Voice Over IP ( CVE-2020-3111 ). «En esta vulnerabilidad, se puede explotar un desbordamiento de pila en la función de análisis de la ID del puerto para obtener la ejecución del código en el teléfono», dijeron los investigadores.

Mientras tanto, la falla de DoS proviene de la implementación de CDP en el software Cisco FXOS, IOS XR y NX-OS ( CVE-2020-3120 ), que puede explotarse al hacer que el demonio CDP de un enrutador o conmutador asigne grandes bloques de memoria, causando que proceso para bloquearse.

«Con esta vulnerabilidad, un atacante puede hacer que el proceso CDP se bloquee repetidamente, lo que a su vez hace que el enrutador se reinicie», dijeron los investigadores. «Esto significa que un atacante puede usar esta vulnerabilidad para crear un DoS completo del enrutador de destino y, a su vez, interrumpir completamente las redes de destino».

Impacto

Una vez que estos defectos han sido explotados, un mal actor podría lanzar una serie de ataques, que incluyen la filtración de datos del tráfico de la red corporativa que atraviesa los conmutadores y enrutadores de una organización; y ver información confidencial, como llamadas telefónicas de teléfonos IP y videos de cámaras IP.

Los atacantes también podrían obtener acceso a dispositivos adicionales al aprovechar los ataques de hombre en el medio, lo que les permitiría interceptar y alterar el tráfico en los conmutadores corporativos.

Armis reveló las vulnerabilidades a Cisco el 29 de agosto y dijo que ha trabajado con el gigante de las redes desde entonces para desarrollar y probar mitigaciones y parches. Los parches fueron lanzados el miércoles.

«Las vulnerabilidades que permiten a un atacante romper la segmentación de la red y moverse libremente a través de la red representan una tremenda amenaza para las empresas», según los investigadores de Armis. “Los objetivos han ido más allá de las computadoras de escritorio, computadoras portátiles y servidores tradicionales a dispositivos como teléfonos IP y cámaras que contienen valiosos datos de voz y video. Las medidas de seguridad actuales, incluida la protección de endpoints, la administración de dispositivos móviles, los firewalls y las soluciones de seguridad de red no están diseñadas para identificar este tipo de ataques «.

Fuente: threatpost.com

Compartir