Cisco 驚爆重大 CDP 安全漏洞,全球數以百萬計網路裝置拉警報

作者 | 發布日期 2020 年 02 月 06 日 12:42 | 分類 物聯網 , 網路 , 網通設備 follow us in feedly


工作場所電話和路由器潛藏糟糕安全漏洞的歷史悠久。如今又到了再次新增安全清單的時候了:研究人員表示,思科(Cisco)企業級產品(如桌上型電話、網路攝影機和網路交換器)最新發現的一系列安全漏洞,會有遭駭客利用滲透入侵至企業網路的風險。由於思科主宰全球網路設備市場,這些漏洞將對全球數百萬台裝置造成影響。

只要是軟體,都會有漏洞,但考慮到潛在的間諜活動和漏洞修補的複雜性,也使嵌入式裝置的問題更令人擔憂。這些由企業安全公司 Armis 發現的特定漏洞,也能打破 IT 管理者用來隔離網路不同部分(如訪客 Wi-Fi)的「分區隔離」(Segmentation)機制,引發更廣泛的安全問題。攻擊者可鎖定脆弱的 Cisco 網路交換器,攔截大量未加密的內部資訊,並在目標系統的不同部分之間移動。攻擊者可利用同樣由 Armis 揭露的相關弱點,立即對成批思科裝置發動攻擊(例如所有桌上型電話或網路攝影機),進而關閉它們,或將它們變成監控目標組織內部的耳目。

CDP 漏洞攻擊能打破分區隔離,讓網路存取控制機制破功

「網路分區隔離是確保物聯網(IoT)裝置安全的關鍵方式,」Armis 研究副總裁 Ben Seri 表示:「但有時我們仍可找到漏洞。我們知道,企業裝置已淪為全球性攻擊目標,一旦潛藏這類型弱點,那麼很不幸的,這無異是為進階持續性威脅(APT)駭客組織提供更強大的攻擊養分。」

此漏洞存在於思科 CDP(Cisco Discovery Protocol)協定機制實作,該協定允許思科產品在私有網路相互廣播身分辨識資料。CDP 屬網路「第二層」的一部分,建立網路裝置之間的基本資料連結。所有裝置都採用某種身分辨識廣播機制,但 CDP 是思科專屬的版本。

透過讓思考產品使用 CDP 將它們各自分離出來會有一些組織管理上的好處,但 Seri 指出,這也留下了攻擊者進入某個網路後,能發現 Cisco 產品的簡單方法。且由於所有思科產品都使用 CDP,一個漏洞就能同步自動鎖定多個裝置,或接管如網路交換器等關鍵裝置,然後再橫向移動。任何第二層協定都可能有瑕疵;CDP 漏洞為攻擊無所不在的思科產品提供了特別有效的途徑。

8 月底,Armis 向思科揭露調查結果,今天這家網路巨頭發布了針對所有 5 個漏洞的修補程式。會有這麼多漏洞,是因為思科對不同產品採用稍微不同的方式執行 CDP 的緣故;Armis 在整個揭露過程發現相關漏洞,並與思科合作修補這些漏洞。

「2 月 5 日,我們揭露許多思科產品 CDP 協定實作的漏洞,以及可用的軟體修復資訊與緩解措施,」思科發言人聲明表示:「我們尚未發現所描述漏洞的任何惡意使用之舉。」

企業所有網路都可能淪陷,裝置修補成為首要當務之急

想利用這些漏洞,攻擊者必須先在目標網路找到一個立足點,找到後便能從那裡迅速散開,然後逐一破壞有弱點的思科裝置,進而深入系統。一旦攻擊者控制了交換器或路由器,就能攔截未加密的網路資料(比如檔案和通訊封包),或存取公司的 AD 目錄服務(管理使用者和裝置的身分驗證)。

「攻擊方式會採取逐一跳接(Hop by hop)。對駭客來說,仍需要初始的網路攻擊載體,」曾揭露許多思科程式瑕疵的 IoT 安全公司 Red Balloon 創辦人 Ang Cui 表示:「一旦找到,每個跳接點(Hop)都有同樣的弱點,如此一來,網路所有交換器、防火牆和路由器都可能受影響。所以駭客不得不拿下很多裝置,但是一旦擁有所有裝置,駭客實際上已接管網路每個區塊了。」

Cui 並指出,研究人員發現 CDP 漏洞並注意到的歷史有數十年之久,因此思科可在利用發動漏洞攻擊前修補,對此類企業級物聯網漏洞的擔憂不僅是理論上,美國國土安全部(Department of Homeland Security,DHS)已就企業網路基礎設施安全防禦的重要性發布了安全警示。

雖然思科發布的修補程式很重要,但 Seri 指出,大多數有弱點的裝置不會自動更新,需要手動更新修補程式才能獲得保護。這對企業交換器和路由器來說尤其困難,因為需要小心翼翼加以修補,以避免不必要的網路停機風險。公司還可以考慮其他緩解方法,亦即在交換器等裝置禁用 CDP,但最終會產生其他問題。不論如何,有鑑於思科設備在全球企業網路無所不在,所以裝置修補成為當務之急。

(首圖來源:Cisco