Onderzoekers vinden vijf grote kwetsbaarheden in Cisco Discovery Protocol

Cisco heeft een aantal grote veiligheidslekken gedicht in de manier waarop het Discovery Protocol dat in Cisco-apparatuur werd gebruikt werkt. Via de lekken in CDP konden aanvallers apparaten op bedrijfsnetwerken overnemen door de segmentatie te omzeilen.

Het gaat in totaal om vijf beveiligingslekken. Die werden gevonden door beveiligingsbedrijf Armis. Van de vijf lekken zijn er vier die een remote code execution mogelijk maken. De laatste kan een denial of service-aanval op het netwerk uitvoeren. De kwetsbaarheden zitten in de manier waarop apparaten het Cisco Discovery Protocol implementeren, dat op een groot aantal Cisco-apparaten staat maar dat voornamelijk wordt gebruikt in de zakelijke wereld. Met het CDP kunnen netwerkbeheerders andere Cisco-apparaten op het netwerk vinden en informatie achterhalen van verbonden apparaten in een netwerk. Het betreft een discoveryprotocol dat op laag 2 discoverypakketjes uit de netwerkpoorten stuurt en ontvangt. Het protocol draait niet alleen op routers en switches, maar ook op ip-telefoons en VMWare-machines met bijvoorbeeld virtuele switches. De onderzoekers hebben een pagina online gezet met daarop alle kwetsbare apparaten.

Aanvallers die de kwetsbaarheid uitbuiten kunnen daarmee veel doen op het netwerk. Zo kunnen zij meekijken en -luisteren met telefoon- en videogesprekken, en informatie afvangen die via een netwerk wordt verstuurd. Ook is het mogelijk om netwerksegmentatie te omzeilen en om man-in-the-middle-aanvallen uit te voeren. De onderzoekers hebben verschillende proofs-of-concept uitgebracht waarin zij laten zien hoe zij bijvoorbeeld een netwerkswitch kunnen overnemen of een telefoon kunnen laten crashen.

De onderzoekers noemen de reeks kwetsbaarheden CDPwn. Er zijn vijf cve's voor gemaakt: CVE-2020-3120, CVE-2020-3119, CVE-2020-3118, CVE-2020-3111 en CVE-2020-2110. De onderzoekers hebben hun bevindingen al in augustus 2019 aan Cisco laten weten. De bedrijven hebben samengewerkt om met een fix te komen, waardoor het nieuws nu naar buiten komt. Volgens de ontdekkers is het onderzoek vrij uniek en belangrijk. "Tot nu toe zijn Layer 2-protocollen nog maar weinig onderzocht, terwijl ze een integraal onderdeel van netwerken zijn", zegt Ben Seri van Armis.

Update woensdag 12 februari: Omschrijving CDP is aangepast op basis van de reactie van Yordi- en het topic van Yariva.

Reacties (19)

Yordi- 7 februari 2020 20:30

"Het is een zogeheten Layer 2-protocol waarmee bijvoorbeeld kan worden gewisseld tussen vlan.". Uhm, dat klopt niet helemaal. CDP is een Cisco protocol dat apparaatinformatie kan uitwisselen. Zo kun je verschillende soorten informatie achterhalen van verbonden apparaten in je netwerk. Het kan verder bijvoorbeeld controleren of een trunk aan beide zijdes wel hetzelfde native-vlan gebruikt. Het betekent tevens zoveel dat je dus "L2 adjacent" moet zijn (dus via een laag 2 verbinding als bijvoorbeeld in een VLAN) om van de exploit gebruik te maken. Oftewel, via een IP adres is dit niet mogelijk. Ook noemenswaardig is dat VMWare in VDS ook een implementatie van CDP heeft, in hoeverre deze implementatie ook ge-exploit kan worden is mij nog niet duidelijk.

De work-around is op dit moment CDP uitschakelen en LLDP als alternatief gebruiken. Let wel dat in bijvoorbeeld Cisco ACI of andere SDN-implementaties gebruik kan worden gemaakt van CDP (danwel LLDP) om te achterhalen waar een ESX host zich in het netwerk bevindt t.b.v. de automatische provisioning van de juiste VLANs op de juiste poorten. Gebruik je een traditioneel netwerk en gebruik je de uitwisseling van die informatie niet op deze manier kun je het beste CDP volledig uitschakelen en (eventueel) overstappen op LLDP.

[Reactie gewijzigd door Yordi- op 22 juli 2024 14:08]

Anonymoussaurus @Yordi- • 7 februari 2020 20:34

Scherp. Werkt volgens mij als het goed is op basis van MAC-adres (want layer 2 in OSI mode idd).

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 14:08]

TheKmork @Anonymoussaurus • 7 februari 2020 23:32

Niet echt, het is geen routering, het stuurt gewoon letterlijk een pakketje met informatie naar de directe buurman. Het gaat verder niet de rest van het netwerk over, maar alleen naar de direct naastgelegen poort. Het is dus een point to point protocol dat (o.a.) layer 2 informatie bevat maar gebruikt in principe alleen layer 1 (de fysieke verbinding) als transport.

Het kan zijn dat ik dit niet helemaal goed heb, het is een tijd geleden dat ik met Cisco apparatuur gewerkt heb, maar dit is hoe het soortgelijke (maar dan open standard en niet Cisco proprietary) LLDP protocol werkt

[Reactie gewijzigd door TheKmork op 22 juli 2024 14:08]

hoipimniet @TheKmork • 8 februari 2020 11:23

het stuurt gewoon letterlijk een pakketje met informatie naar de directe buurman.

Naar de directe buurman die CDP kan interpreteren

Als je een ander merk switch tussen twee Cisco's zet zie je die switch niet met CDP (de Cisco's zien dan elkaar), maar wel met LLDP (beide Cisco's zien de andere switch).

TheKmork @hoipimniet • 8 februari 2020 14:04

Fair enough, dat gedeelte wist ik niet idd. Maar het lijkt me desalniettemin dat CDP meer soort van broadcast gebaseerd is dan dat het daadwerkelijk naar een specifiek mac adres gaat (en ja, ik weet dat broadcast in feite sort of naar mac-adres ff:ff:ff:ff:ff:ff gaat, maar goed)

hoipimniet @TheKmork • 8 februari 2020 18:34

Hehe, kom je ook niet zo vaak tegen. En nee, niet broadcast, meer een soort laag 2 multicast.

ijdod

@Yordi- • 8 februari 2020 08:00

Let wel dat er twee jaar terug een vrijwel vergelijkbare bug zat in de LLDP implementatie. Het is niet zo dat LLDP inherent veiliger is.

bdbfz @Yordi- • 8 februari 2020 09:58

VMware heeft in standard switches een CDP implementatie (default listen, maar kan geconfigureerd worden om ook te sturen), en in distributed switches CDP en LLDP (idem).

Eloy 7 februari 2020 20:36

Het artikel suggereert dat er een kwetsbaarheid is gevonden in het protocol. Zo te zien gaat het echter om de implementatie van het protocol, dat inmiddels gefixt is. Met het procol zelf is niks mis.

Auteur

TijsZonderH Nieuwscoördinator @Eloy • 7 februari 2020 21:22

Ja je hebt gelijk, dat is iets te kort door de bocht. Pas ik aan.

Atlantis1995 @TijsZonderH • 8 februari 2020 17:52

De titel suggereert het nog steeds

Tetraquark @Atlantis1995 • 10 februari 2020 15:19

die passen ze natuurlijk niet aan want lekkere click bait

didi79 7 februari 2020 20:33

En wat met de vele merken die Cisco achtige code gebruiken ? Ook al is CDP proprietair, wordt toch heel vaak gebruikt en enabled by default.

Anonymoussaurus @didi79 • 7 februari 2020 20:35

Niet per se code. Switches en routers met IOS hebben het inderdaad standaard aanstaan en zullen ook automatisch gaan zoeken naar andere intermediary devices die IOS draaien in het netwerk.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 14:08]

RedPixel @didi79 • 7 februari 2020 21:31

De implementatie van Cisco heeft kwetsbaarheden, andere fabrikanten daarmee mogelijk ook, maar misschien ook wel niet.

Argantonis 9 februari 2020 06:54

Jammer dat dit niet zo zal worden opgeblazen als alles rondom Huawei. Moet je je eens voorstellen hoe de overheid van de VS zou staan steigeren nu.

Marcel Loesberg 9 februari 2020 12:09

"Met het CDP kunnen netwerkbeheerders andere Cisco-apparaten op het netwerk vinden. Het is een zogeheten Layer 2-protocol waarmee bijvoorbeeld kan worden gewisseld tussen vlan."

Hier worden CDP, VTP en DTP door elkaar gehaald.
Met CDP ontdek je andere apparatien op het netwerk (en hun capabillities)
Met VTP wordt vlan informatie uitgewisseld
En DTP detecteerd dynamisch of een verbinding een trunk is
Het gebruik van VTP/DTP wordt in de meeste gevallen afgeraden (security best practise).
Op externe links wordt afgeraden CDP en LLDP (de open standaard) uit te zetten (ook security best practise).
Hoewel deze kwetsbaarheden dus zeker serieus moeten worden genomen zou het zo moeten zijn dat je redelijk veilig bent als je de best practices volgt.
Het advies CDP, VTP en DTP uit te zetten staat ook al sinds jaar en dag in de config-guide van bijvoorbeeld de AMS-ix

"If you use a Cisco Layer 2 device (such as the 2900 and 3500 series), you have to turn off VTP (VLAN Trunking Protocol), DTP (Dynamic Trunking Protocol), LLDP, and UDLD."

Bron: https://www.ams-ix.net/ams/documentation/config-guide

mick77 9 februari 2020 12:58

Tja, waarschuwden Marco Figueroa, Kevin Figueroa & Anthony L. Williams hier meer dan 10 jaar terug niet al voor in hun presentatie "VLANs Layer 2 Attacks:Their Relevance and Their Kryptonite"?

itlee 10 februari 2020 01:54

Toestellen die geen last hebben van het cdp probleem zijn:
Ip dect 6825
Spa 112
Spa 122
Spa 2102
Spa 232d
Spa 300 ip phone series
Spa 500 series
Spa 3102
Spa 8000 en 8800 series

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (19)

Sorteer op:

Weergave: