Importanti Vulnerabilità su Molteplici Dispositivi Cisco

Proto: N020220 .

Con la presente Yoroi desidera informarLa riguardo alla scoperta di gravi vulnerabilità in molteplici tecnologie Cisco, comprendenti più famiglie di switch di rete, appliance di sicurezza, telefonia VoIP e dispositivi di videosorveglianza. Le criticità sono note con l’alias “CDPwn” e sono referenziate con gli identificativi CVE-2020-3119, CVE-2020-3118, CVE-2020-3111, CVE-2020-3110 e CVE-2020-3120.

Benché le problematiche impattino varie tipologie di dispositivi, la loro origine è comune e risiede in varie lacune nella gestione e nel processamento dei pacchetti Cisco Discovery Protocol (CDP), protocollo di rete di Livello-2 che i dispositivi Cisco sono in grado di gestire. Queste lacune possono essere sfruttate da attaccanti di rete in vari scenari, ad esempio nel caso di: 

• switch basati su NX-OS o su IOS-XR, un attaccante in rete locale può eseguire codice arbitrario sul dispositivo bersaglio, prendendone il controllo a livello amministrativo;
• dispositivi di telefonia Cisco IP Phone Serie 7800 e 8800, un attaccante in rete locale può eseguire codice arbitrario sul dispositivo bersaglio, intercettando così le comunicazioni in corso, oppure forzandone lo spegnimento al fine di generare condizioni di disservizio potenzialmente estese all’intero parco telefonia;
• dispositivi di videosorveglianza Cisco Video Surveillance 8000, un attaccante in rete locale può eseguire codice arbitrario sul dispositivo bersaglio per accedere alle registrazioni di sicurezza, oppure per forzarne lo spegnimento simulando malfunzionamenti dei dispositivi di sorveglianza fisica;
• appliance di sicurezza basati su FXOS come Firepower, Next-Gen Firewall di Cisco, un attaccante in rete locale può creare condizioni di disservizio e spegnimento delle macchine bersaglio.

Cisco ha confermato le problematiche con i bollettini  CISCO-SA-20200205-FXNXOS-IOSXR-CDP-DOS, CISCO-SA-20200205-NXOS-CDP-RCE, CISCO-SA-20200205-IOSXR-CDP-RCE, CISCO-SA-20200205-VOIP-PHONES-RCE-DOS e CISCO-SA-20200205-IPCAMERAS-RCE-DOS, dove ha rilasciato aggiornamenti firmware per le famiglie di prodotto:

• ASR 9000 Series Aggregation Services Routers.
• Carrier Routing System (CRS).
• Security Appliances Firepower serie 1000, 2100, 4100 e 9300.
• Router con IOS XRv 9000.
• Router con Cisco IOS XR.
• Nexus 1000 Virtual Edge e Nexus 1000V Switch.
• Switch Nexus serie 3000, 5500, 5600, 6000, 7000 e 9000.
• Multilayer Switches MDS serie 9000.
• Network Convergence System (NCS) serie 1000, 5000, 540, 5500, 560 e 6000.
• UCS Fabric Interconnects serie 6200, 6300 e 6400.
• IP Conference Phone 7832 e 8832.
• IP Phone, serie 6800, 7800, 8800 e 8851.
• Unified IP Conference Phone 8831.
• Wireless IP Phone 8821 e 8821-EX.
• Video Surveillance 8000 Series IP Cameras.

Per via della potenziale criticità e diffusione dei dispositivi afflitti, e del rilascio di dettagli tecnici relativi alle vulnerabilità, Yoroi consiglia di pianificare l’applicazione degli aggiornamenti firmware resi disponibili dal Produttore.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index