[English]Anbieter Cisco musste mal wieder kritischen Schwachstellen im Cisco Discovery Protocol (CDP) durch Sicherheitsupdates patchen. Durch die Fehler im Protokoll sind Millionen Cisco-Geräte gefährdet.
Anzeige
Es sind gleich fünf verschiedene Schwachstellen, die in verschiedenen Implementierungen des Cisco Discovery Protocol (CDP) gefunden wurden. CDP ist ein proprietäres Layer-2-Netzwerkprotokoll (Data Link Layer), das von Cisco-Geräten zur Ermittlung von Informationen über andere Cisco-Geräte im lokalen Netzwerk verwendet wird. Ziel ist es, Cisco-Produkte im Netzwerk abzubilden. Dieses Protokoll ist in praktisch allen Cisco-Produkten, einschließlich Routern, Switches, IP-Telefonen und Kameras, standardmäßig aktiviert, wobei die überwiegende Mehrheit von ihnen ohne die Verwendung von CDP nicht richtig funktionieren kann.
Und im CDP finden sich die fünf Schwachstellen, die Angreifern im lokalen Netzwerk es ermöglichen könnten, Millionen von Geräten in Unternehmensnetzwerken zu übernehmen. Entdeckt wurden die Schwachstellen (als CDPwn bezeichnet) 29. August 2019 vom IoT-Sicherheitsunternehmen Armis. Armis hat nachfolgendes Video erstellt, welches zeigt, wie die CDPwn-Schwachstellen bei Angriffen genutzt werden könnten.
(Quelle: YouTube)
Die fünf Schwachstellen – vier kritische Remotecode-Ausführung (RCE) und ein Denial-of-Service (DoS) – werden, laut Bleeping Computer, als CDPwn bezeichnet, da sie sich auf die Verarbeitung von CDP-Paketen (Cisco Discovery Protocol) beziehen.
Alle in den letzten 10 Jahren veröffentlichten Cisco-Firmware-Versionen sind von diesen Schwachstellen betroffen. Diese könnten es in ein Unternehmensnetzwerk eingedrungenen lokalen Angreifern ermöglichen, einen Man-in-the-Middle-Angriff auszuführen, Sprach- oder Videoanrufe auszuspionieren, Daten im Firmennetzwerk zu sammeln und zu abzugreifen sowie die Netzwerksegmentierung zu unterbrechen, so die Armis-Sicherheitsforscher.
Angreifer könnten in einem Unternehmensnetzwerk Fuß fassen und den Rest des Netzwerks übernehmen. Zunächst könnten sie nicht verwaltete und IoT-Geräte wie Sicherheitskameras und Smart TVs, die normalerweise in einem separaten Netzwerk platziert sind, infizieren.
Danach wäre die Ausbreitung im Netzwerk möglich. Ungepatchte Cisco-Switches würden dazu unter Ausnutzung einer der CDPwn-Schwachstellen übernommen. Dann können die Angreifer andere Teile des Netzwerks durch Man-in-the-Middle-Angriffe oder netzwerkweite Broadcast-Pakete, die alle Cisco-Geräte in einem Zug übernehmen, kompromittieren.
(Gefährdete CISCO-Geräte, Quelle: Armis)
Anzeige
Die CDPwn-Schwachstellen wirken sich auf eine Vielzahl von Cisco-Geräten aus, darunter Cisco IOS XR-Router, Cisco NX-OS-Switches, Cisco NCS-Systeme, Cisco FirePower-Firewalls, Cisco 8000 IP-Kamera-Serien und Cisco IP-Telefone der Serien 7800 und 8800, um nur einige zu nennen. Eine vollständige Liste aller Cisco-Geräte, die von den CDPwn-Schwachstellen betroffen sind, findet sich auf dieser Armis-Seite.
Cisco hat am 5. Februar 2020 ein Security Advisories mit einer Übersicht aller Schwachstellen veröffentlicht. In den verlinkten Detailseiten finden sich Hinweise auf Firmware-Aktualisierungen, zusätzliche Informationen und Details zur Abschwächung der CDPwn-Schwachstellen. Das Dokument zur Cisco Discovery Protocol Remote Code Execution-Schwachstelle befindet sich hier. Dort finden sich auch Hinweise auf die Firmware-Aktualisierungen.
2015
