Vulnerabilidades do Cisco CDP em 2020

Em fevereiro de 2020, a Cisco lançou uma infinidade de patches relacionados às vulnerabilidades do Cisco CDP. Se você ainda não sabia, CDP significa Cisco Discovery Protocol, e praticamente todos os produtos da Cisco, de switches a roteadores a telefones e câmeras de segurança, o utilizam de alguma forma ou forma.

O que é CDP?

O Cisco Discovery Protocol, CDP, é aproveitado por dispositivos Cisco. Este é um protocolo proprietário da Cisco que opera na camada 2 e permite que os dispositivos Cisco troquem informações entre si. Os pacotes CDP são enviados a cada 60 segundos a partir de dispositivos com o protocolo habilitado, por isso é bastante tagarela.

Cada dispositivo Cisco armazena essas informações sobre seus vizinhos em uma tabela no dispositivo. Se você já trabalhou com dispositivos Cisco, é provável que tenha usado o comando show cdp neighbours apenas para se divertir para ver o que está lá fora em sua rede. Como você pode imaginar, isso é bastante poderoso.

Sobre as vulnerabilidades do Cisco CDP

O crédito por descobrir essas vulnerabilidades vai para Armis, e você pode ler o artigo deles aqui.

As vulnerabilidades são:

• CVE-2020-3110 - Execução remota de código de câmera IP
• CVE-2020-3111 - Extinção do código remoto do telefone IP
• CVE-2020-3118 - execução remota de código IOS XR
• CVE-2020-3119 - execução remota de código NX-OS
• CVE-2020-3120 - Negação de serviço de dispositivos FXOS, IOS XR e NX-OS

Essas cinco vulnerabilidades podem ser encontradas em todos os clientes Cisco, como você pode ver nos sistemas operacionais afetados. Na verdade, o CDP está ativado por padrão. Se você está se perguntando se Servidores Cisco UCS são impactados, a resposta é sim, eles estão, uma vez que o Fabric Interconnect executa o NX-OS.

Essas vulnerabilidades do Cisco CDP são todas classificadas alto impacto na página Cisco Security Advisories. Todas as cinco vulnerabilidades foram anunciadas quando as atualizações de software foram disponibilizadas.

Não há soluções alternativas para esta vulnerabilidade além de desabilitar o CDP, que pode não ser uma opção para alguns clientes. A única maneira de mitigar esse risco é corrigir os dispositivos Cisco afetados, ou seja, todos eles.

O impacto das vulnerabilidades da Cisco

Eu mencionei que quase todos os dispositivos Cisco são vulneráveis ​​a esses ataques?

Este é mais um exemplo de por que é tão importante ter um processo de patching implementado em sua organização. A capacidade de responder rapidamente às vulnerabilidades de segurança é crítica, especialmente quando as vulnerabilidades são tão graves.

Embora, em teoria, todos concordem com essa afirmação, o fato é que nem sempre é fácil de executar. Especialmente quando se trata de dispositivos de rede central, como roteadores e switches Cisco. Afinal, quem realmente gosta de tocar em equipamentos de rede essenciais que parecem estar funcionando bem?

Lembre-se, embora as coisas pareçam estar funcionando bem, não estão quando vulnerabilidades como essa não são mitigadas. É mais importante do que nunca para até mesmo a equipe de rede ter processos em vigor para responder a um incidente de segurança.

O aumento da vulnerabilidade da infraestrutura

Quando muitas pessoas pensam em vulnerabilidades de segurança, elas automaticamente começam a pensar naqueles pobres servidores Windows que muitas vezes são vítimas de ransomware. Por alguma estranha razão, muitas pessoas parecem pensar na segurança como uma coisa com a qual o pessoal do servidor deve lidar, já que os servidores são as únicas coisas que são hackeadas, certo?

Não, muito, muito errado. Somente em 2020, já vimos duas vulnerabilidades importantes no nível da infraestrutura de TI.  Primeiro foi Citrix, e agora é a Cisco. Sem mencionar todas as vulnerabilidades de nível de processador que afetam o hardware da infraestrutura.

Hoje, é muito importante para nós, pessoal de infraestrutura, ter um conhecimento básico dos princípios de segurança da informação, para que possamos manter nossas infraestruturas seguras. Lembre-se de que qualquer coisa que execute qualquer tipo de sistema operacional pode ser vulnerável e nossos componentes de infraestrutura não são exceção.