image

Cisco-routers actief aangevallen via lek in Cisco Discovery Protocol

woensdag 21 oktober 2020, 13:02 door Redactie, 7 reacties

Een kwetsbaarheid in verschillende Cisco-routers waardoor het mogelijk is om willekeurige code op de apparaten uit te voeren wordt actief aangevallen, zo heeft de netwerkfabrikant bekendgemaakt. Het beveiligingslek, CVE-2020-3118, is aanwezig in een implementatie van het Cisco Discovery Protocol (CDP) voor de Cisco IOS XR Software. Het besturingssysteem dat op Cisco-routers draait.

CDP is een netwerkprotocol dat Cisco-apparaten gebruiken om informatie over andere op het netwerk aangesloten apparaten te verzamelen. Door een kwaadaardig CDP-pakket naar een router te versturen kan een aanvaller een stack overflow veroorzaken, waardoor het mogelijk is om op de router willekeurige code met beheerdersrechten uit te voeren.

Cisco bracht in februari van dit jaar beveiligingsupdates voor het probleem uit. De kwetsbaarheid was aanwezig in ASR 9000, IOS XRv 9000 en Network Convergence System (NCS) 540, 560, 1000, 5000, 5500 en 6000 series routers. De kwetsbaarheid, die op een schaal van 1 tot en met 10 wat betreft de ernst met een 8,8 is beoordeeld, is volgens Cisco alleen te misbruiken door een "aangrenzende aanvaller" in hetzelfde broadcast domain als het aangevallen apparaat.

Gisteren kwam de NSA met een Top 25 van kwetsbaarheden die volgens de Amerikaanse geheime dienst door China worden gebruikt om organisaties aan te vallen. Het Cisco-lek stond ook in deze lijst vermeld. Gelijktijdig voorzag Cisco de advisory van een update waarin het laat weten dat misbruik van de kwetsbaarheid is waargenomen.

Reacties (7)
21-10-2020, 13:54 door Anoniem
Is toch al bekend sinds 5 februari? Als je als systeembeheerder nu nog niets hebt gedaan, ben je geen knip voor je neus waard.
21-10-2020, 17:00 door nva
Door Anoniem: Is toch al bekend sinds 5 februari? Als je als systeembeheerder nu nog niets hebt gedaan, ben je geen knip voor je neus waard.

Het aan laten staan van CDP op een WAN of DMZ interface is zoiezo nooit een goed idee. Op een LAN interface (waar het risico al beperkter is) kun je dit simpelweg oplossen door een apart VLAN tussen je interne netwerk en de router te gebruiken i.c.m. een /30 subnet waar je de router en de switch over laat communiceren, waardoor het ook in het LAN niet direct zichbaar is, tenzij je het naar endpoints aan laat staan, waar dit enkel voor voice VLAN voordelen biedt.
21-10-2020, 17:18 door Anoniem
Door nva:
Door Anoniem: Is toch al bekend sinds 5 februari? Als je als systeembeheerder nu nog niets hebt gedaan, ben je geen knip voor je neus waard.

Het aan laten staan van CDP op een WAN of DMZ interface is zoiezo nooit een goed idee. Op een LAN interface (waar het risico al beperkter is) kun je dit simpelweg oplossen door een apart VLAN tussen je interne netwerk en de router te gebruiken i.c.m. een /30 subnet waar je de router en de switch over laat communiceren, waardoor het ook in het LAN niet direct zichbaar is, tenzij je het naar endpoints aan laat staan, waar dit enkel voor voice VLAN voordelen biedt.

Ja achteraf kun je altijd wel oplossingen bedenken die je "had moeten kiezen".
Maar veel mensen gaan er min of meer vanuit dat ze met Cisco spullen in huis halen die op netwerken kunnen worden
ingezet zonder dat je weer allerlei pleisters moet gebruiken.
Anders kun je net zo goed Huawei gebruiken he? (waarschijnlijk is dat ook wel een beter idee...)
21-10-2020, 21:42 door Anoniem
Door Anoniem:
Door nva:
Door Anoniem: Is toch al bekend sinds 5 februari? Als je als systeembeheerder nu nog niets hebt gedaan, ben je geen knip voor je neus waard.

Het aan laten staan van CDP op een WAN of DMZ interface is zoiezo nooit een goed idee. Op een LAN interface (waar het risico al beperkter is) kun je dit simpelweg oplossen door een apart VLAN tussen je interne netwerk en de router te gebruiken i.c.m. een /30 subnet waar je de router en de switch over laat communiceren, waardoor het ook in het LAN niet direct zichbaar is, tenzij je het naar endpoints aan laat staan, waar dit enkel voor voice VLAN voordelen biedt.

Ja achteraf kun je altijd wel oplossingen bedenken die je "had moeten kiezen".
Maar veel mensen gaan er min of meer vanuit dat ze met Cisco spullen in huis halen die op netwerken kunnen worden
ingezet zonder dat je weer allerlei pleisters moet gebruiken.
Anders kun je net zo goed Huawei gebruiken he? (waarschijnlijk is dat ook wel een beter idee...)

Is ook wel een beetje logish nadenken dat je services die je niet gebruikt uitschakelt en als je ze wel gebruikt je ze ook correct configrueert. Bij Cisco heb je tenminste nog pleisters en is bekend hoe ze werken. Bij die Chinese prut is dat nog maar de vraag, leg eens uit waarom je daar meer vertrouwen in hebt...
22-10-2020, 10:19 door Anoniem
Door Anoniem:leg eens uit waarom je daar meer vertrouwen in hebt...
Ik wijs er alleen op dat het wantrouwen wat mensen hebben tegen Huawei (wat dan gepaard gaat met een vertrouwen
in Amerikaanse merken zoals Cisco) niet echt veel oplevert. Heb je Huawei dan kun je een bug hebben en gaan
vermoeden dat de Chinese overheid hier wel achter zal zitten en een backdoor heeft ingebouwd, maar koop je in
plaats daarvan Cisco dan is de situatie niet anders. Ook daar komt de ene na de andere bug uit waar je als doemdenker
makkelijk van kunt vermoeden dat de CIA hier wel achter zal zitten.
23-10-2020, 09:56 door Anoniem
op de XR software staat CDP standaard uit, je moet dit dus eerst bewust activeren (geen idee waarom je dat zou doen op die dikke lijn routers van Cisco).

"Cisco Discovery Protocol is not enabled in Cisco IOS XR Software by default."

Plus : Cisco Discovery Protocol is a Layer 2 protocol. To exploit this vulnerability, an attacker must be in the same broadcast domain as the affected device (Layer 2 adjacent).

Oftewel je moet een aangrenzend apparaat in hetzelfde vlan hebben. Dat maakt de aanval vector wel even anders natuurlijk. Local LAN attack is mogelijk maar via Internet ? Ja nogmaals op carrier level of zo.
24-10-2020, 00:41 door Anoniem
Door Anoniem: op de XR software staat CDP standaard uit, je moet dit dus eerst bewust activeren (geen idee waarom je dat zou doen op die dikke lijn routers van Cisco).

"Cisco Discovery Protocol is not enabled in Cisco IOS XR Software by default."

Plus : Cisco Discovery Protocol is a Layer 2 protocol. To exploit this vulnerability, an attacker must be in the same broadcast domain as the affected device (Layer 2 adjacent).

Oftewel je moet een aangrenzend apparaat in hetzelfde vlan hebben. Dat maakt de aanval vector wel even anders natuurlijk. Local LAN attack is mogelijk maar via Internet ? Ja nogmaals op carrier level of zo.
Mja is niet vrij lastig om in te breken via phishing, wifi of gewoon een loos poortje in de muur toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.