Vrijwel alle Cisco-hardware kwetsbaar voor zero-day-bugs

Zowat alle toestellen van Cisco, van switches tot telefoons, zijn kwetsbaar voor een verzameling nieuwe bugs waarmee hackers code kunnen uitvoeren en netwerksegmentering kunnen omzeilen.

Onderzoekers van beveiligingsbedrijf Armis ontdekten vijf verschillende zero-day-lekken in Cisco-hardware. Zowat het hele portfolio van de netwerkgigant is getroffen. Het probleem heeft zo’n grote impact omdat de gevonden bugs in Cisco’s Discovery Protocol (CDP) zitten. Dat protocol laat IT-administrators toe om toestellen van Cisco op het netwerk terug te vinden. Je vindt het protocol op een breed gamma van hardware, van netwerkapparatuur zoals switches tot IP-telefoons.

Remote execution en DDoS

Vier van de vijf gevonden zero-day-bugs laat hackers toe om vanop afstand onregelmatige code uit te voeren. De vijfde is DDoS-gerelateerd. Armis heeft de ontdekking doorgegeven aan Cisco, dat intussen een patch heeft uitgerold. De alomtegenwoordigheid van het protocol impliceert echter dat het terug te vinden is op hardware die niet automatisch updatet. Dat betekent dat organisaties hun Cisco-hardware manueel up to date moeten brengen, en dat zal vermoedelijk nog even duren. Het goede nieuws is dat er momenteel nog geen aanvallen in het wild gedetecteerd zijn die de bugs misbruiken.

Armis stipt aan dat de vector een aanvaller toelaat om van een relatief onbeveiligd toestel zoals een IP-telefoon een netwerkswitch over te nemen. Van daaruit kan een hacker netwerksegmentering omzeilen om zich toegang te verwerven tot kritiekere infrastructuur. Man-in-the-middle-aanvallen waarbij waardevolle data worden onderschept, lijken een voor de hand liggende implementatie. De bugs treffen ook toestellen die het hacken op zich waard zijn, zoals netwerkcamera’s. De data die dergelijke toestellen genereren binnen bedrijven, doet menig hacker ongetwijfeld watertanden.

CDPwn

Armis verzamelt de vier kwetsbaarheden onder een catchy naam, zoals bij grote lekken stilaan traditie begint te worden. Zeg dus niet CVE-2020-3120 of CVE-2020-3119, maar CDPwn. Cisco heeft zelf pagina’s met informatie aangemaakt voor de vijf zero-days. Het gaat heel concreet om volgende bugs:

  • Een denial of service-kwetsbaarheid in CDP(CVE-2020-3120)
  • Een remote Code rxecution-kwetsbaarheid in CDP(CVE-2020-3119)
  • Een format string-kwetsbaarheid in CDP(CVE-2020-3118)
  • Een dubbele remote code execution en DDoS-kwetsbaarheid gericht op CDP in IP-telefoons (CVE-2020-3111)
  • Een CDP-kwetsbaarheid gericht op de video surveillance 8000 Series IP Camera’s die opnieuw DDoS en remote code execution toelaat (CVE-2020-3110)

Het spreekt voor zich dat snel patchen aangewezen is. In afwachting kan een goed geïmplementeerde netwerkbeveiliging met IPS aanvallen in principe detecteren en tegenhouden.

Cisco kondigde pas nog aan zijn toekomst als netwergigant veilig te willen stellen met nieuwe hardware. Lees hier wat dat precies betekent: Cisco Silicon One moet nieuwe fundering van het internet worden