Af Eskil Sørensen, 06/02/20
Cisco har udsendt rettelser, der imødegår fem kritiske sårbarheder i forskellige implementeringer af Cisco Discovery Protocol (CDP). Sårbarheden gør det muligt for en angriber at infiltrere et lokalt netværk, iværksætte man-in-the-middle angreb eller fx overtage alle bestemte enhedstyper som fx IP telefoner i en virksomhed og dermed få adgang til sensitiv information.
IoT-sikkerhedsfirmaet, Armis, der kreditteres for at have fundet sårbarhederne og samarbejdet med Cisco om dem, oplyser, at angribere fx kan få foden inden for i IoT-produkter som fx overvågningskameraer, smart-tv mv, som typisk er placeret i separate netværk. Derfra kan en angriber ved at udnytte sårbarheden overtage en ikke-patchet Cisco switch og derigennem få adgang til stort set alle enheder på resten af netværket.
Millioner enheder er omfattet af sårbarheden
CDP er en såkaldt Data link layer netværksprotokol, som bruges til at have styr på hvilke enheder, der er forbundet til lokale netværk. Protokollen er sat til som default i praktisk taget alle Cisco-produkter som fx routere, switches, IP telefoner og kameraer, som stort set ikke kan fungere ordentligt uden. For de fleste af produkterne kan man end ikke slå CDP fra.
Det fremgår af Ciscos egne statistikker, at over 95 pct. af alle de største virksomheder i verden og mere end 200.000 kunder bruger Cisco-løsninger, der er omfattet af sårbarheden. Også derfor gives sårbarheden vurderingen høj.
Links:
https://www.armis.com/about/iot-security-news/cdpwn/
http://kb.cert.org/vuls/id/261385/
https://www.cyberscoop.com/cisco-zero-days-armis/