Cisco heeft een aantal grote veiligheidslekken gedicht in de manier waarop het Discovery Protocol dat in Cisco-apparatuur werd gebruikt werkt. Via de lekken in CDP konden aanvallers apparaten op bedrijfsnetwerken overnemen door de segmentatie te omzeilen.
Het gaat in totaal om vijf beveiligingslekken. Die werden gevonden door beveiligingsbedrijf Armis. Van de vijf lekken zijn er vier die een remote code execution mogelijk maken. De laatste kan een denial of service-aanval op het netwerk uitvoeren. De kwetsbaarheden zitten in de manier waarop apparaten het Cisco Discovery Protocol implementeren, dat op een groot aantal Cisco-apparaten staat maar dat voornamelijk wordt gebruikt in de zakelijke wereld. Met het CDP kunnen netwerkbeheerders andere Cisco-apparaten op het netwerk vinden en informatie achterhalen van verbonden apparaten in een netwerk. Het betreft een discoveryprotocol dat op laag 2 discoverypakketjes uit de netwerkpoorten stuurt en ontvangt. Het protocol draait niet alleen op routers en switches, maar ook op ip-telefoons en VMWare-machines met bijvoorbeeld virtuele switches. De onderzoekers hebben een pagina online gezet met daarop alle kwetsbare apparaten.
Aanvallers die de kwetsbaarheid uitbuiten kunnen daarmee veel doen op het netwerk. Zo kunnen zij meekijken en -luisteren met telefoon- en videogesprekken, en informatie afvangen die via een netwerk wordt verstuurd. Ook is het mogelijk om netwerksegmentatie te omzeilen en om man-in-the-middle-aanvallen uit te voeren. De onderzoekers hebben verschillende proofs-of-concept uitgebracht waarin zij laten zien hoe zij bijvoorbeeld een netwerkswitch kunnen overnemen of een telefoon kunnen laten crashen.
De onderzoekers noemen de reeks kwetsbaarheden CDPwn. Er zijn vijf cve's voor gemaakt: CVE-2020-3120, CVE-2020-3119, CVE-2020-3118, CVE-2020-3111 en CVE-2020-2110. De onderzoekers hebben hun bevindingen al in augustus 2019 aan Cisco laten weten. De bedrijven hebben samengewerkt om met een fix te komen, waardoor het nieuws nu naar buiten komt. Volgens de ontdekkers is het onderzoek vrij uniek en belangrijk. "Tot nu toe zijn Layer 2-protocollen nog maar weinig onderzocht, terwijl ze een integraal onderdeel van netwerken zijn", zegt Ben Seri van Armis.
Update woensdag 12 februari: Omschrijving CDP is aangepast op basis van de reactie van Yordi- en het topic van Yariva.