В протоколе Cisco CDP обнаружены критические уязвимости
Исследователи компании Armis обнаружили пять уязвимостей в проприетарном протоколе Cisco CDP. Этот протокол используется для обнаружения друг другом коммутационного оборудования, подключенного напрямую или через устройства первого уровня. Он часто используется для управления IP-телефонами, в частности, для выделения одного VLAN для голосового трафика и второго VLAN для компьютере в цепочке подключения к порту IP-телефона. А также для настройки PoE.
Пакет уязвимостей назван CDPwn, он включает 5 Remote Code Execution (RCE) уязвимостей и одну Denial of Service (DoS), позволяет полностью перехватить управление оборудованием и привести к следующим последствиям:
-
Нарушение сегментации сети (VLAN);
-
Кража данных трафика корпоративной сети, проходящего через коммутаторы и маршрутизаторы организации;
-
Получение доступа к дополнительным устройствам за счет использования атак «человек посередине» путем перехвата и изменения трафика на корпоративном коммутаторе;
-
Кража конфиденциальной информации, такой как телефонные звонки, например, с IP-телефонов, и видеопотоки с IP-камер.
Cisco всегда напоминает, что протокол CDP не должен быть виден за защищенным периметром и отключен на интерфейсах коммутаторов, выходящих за защищенный периметр. Команда отключения CDP на интерфейсе (может незначительно отличаться в разном оборудовании):
no cdp enable
Компания Angara Professional Assistance имеет в своем портфеле услуги технического и ИБ аудита, где производится проверка степени защищенности ИТ- и ИБ-систем и технических средств, оптимальности архитектуры, «состояния здоровья» систем и системных ресурсов (Health Check). В частности, производится проверка настроек коммутаторов, рекомендации по явному экранированию сугубо внутреннего технологического трафика, такого как CDP, на периметровом оборудовании. Оценка производится на основе рекомендаций производителя и опыта инженеров эксплуатации и сопровождения.
За дополнительной информацией можно обратиться по телефону 8 (495) 269-26-06 или e-mail info@angarapro.ru