已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

思科:关于CDP(Cisco Discovery Protocol)部署中发现漏洞的声明

思科:关于CDP(Cisco Discovery Protocol)部署中发现漏洞的声明

美国时间2月5日,思科产品安全突发事件响应团队(PSIRT)主动披露了CDP(Cisco Discovery Protocol)部署过程中发现的漏洞、以及软件修补资讯和缓解措施。

思科产品安全突发事件响应团队(PSIRT)表示:“这些漏洞是由Armis的外部研究人员通告给我们的。思科感谢Armis团队与我们在协同披露方面的合作。我们已经提供修复这些漏洞的软件。目前尚未得到任何恶意利用此漏洞的报告。”

思科对安全问题保持高度透明。一旦发现任何安全问题,都主动公开并迅速处理,以确保客户能够第一时间了解并解决问题。 二十多年前,思科建立了产品安全突发事件响应团队(PSIRT),致力于清晰地传达有关安全漏洞的信息,以便可以与客户和合作伙伴紧密合作,减轻漏洞带来的影响。思科与安全研究团队保持着透明开放的关系,并认为这种协作对于保护客户的网络至关重要。

思科已经发布了修复这些漏洞的软件更新。下表提供了这些漏洞的摘要清单:

CVE ID思科安全公告CVSS基本分数
CVE-2020-3110 Cisco Video Surveillance 8000系列IP摄像头CPD远程代码执行和拒绝服务漏洞 8.8
CVE-2020-3111 Cisco Voice over Internet Protocol Phone电话远程代码执行和拒绝服务漏洞 8.8
CVE-2020-3118 Cisco IOS XR软件CPD格式字符串漏洞 8.8
CVE-2020-3119 Cisco NX-OS软件CPD远程代码执行漏洞 8.8
CVE-2020-3120 Cisco FXOS、IOS XR和NX-OS软件CPD拒绝服务漏洞 7.4

CDP(Cisco Discovery Protocol)详情和漏洞访问向量

CDP(Cisco Discovery Protocol)是在思科设备上运行的第2层协议,使网络应用了解附近的直接连接设备。此协议通过发现这些设备、确定它们的配置方式,并允许使用不同网络层协议的系统相互了解,从而方便了对思科设备进行管理。

有关这些漏洞的一些事实如下:

  • 思科产品安全突发事件响应团队(PSIRT)目前尚未得到任何恶意利用此漏洞的报告。
  • 攻击者必须与受影响的设备(相邻的“第2层”)位于同一广播域或子网中,才能利用漏洞(如下图所示)。这些漏洞无法从互联网或不同的广播域/子网进行利用。

    Crafted CDP Packets

  • 运行Cisco IOS和Cisco IOS-XE软件的设备不受这些漏洞的影响。
  • Cisco ASA、Cisco Firepower 1000系列和Cisco Firepower 2100系列不受这些漏洞的影响。
  • Cisco FXOS软件、Cisco IP摄像头固件、Cisco IP电话固件、Cisco IOS-XR软件、Cisco NX-OS软件和Cisco UCS Fabric Interconnects受其中一个或多个漏洞的影响。
  • 在Cisco IOS XR软件中,CDP(Cisco Discovery Protocol)默认禁用
  • 在Cisco FXOS软件、Cisco IP摄像头固件、Cisco IP电话固件、Cisco NX-OS软件中,以及在Cisco UCS Fabric Interconnect上,CDP默认启用
  • 已知的安全最佳实践是在所有与不受信任网络相连接的接口上,禁用CDP。(按操作系统列出的安全最佳实践可在网络基础设施设备加固、取证和完整性保证流程中找到)。每个安全公告均提供有关如何确定您设备中是否启用了CDP以及如何将其禁用的详细信息。对于必须运行CDP以支持特定功能的产品,我们建议客户遵循网络分段最佳实践,以避免不受信任的设备发送CDP数据包,或使用可用的软件修补程序升级这些设备。

下表列举了在Cisco FXOS、Cisco IOS-XR、Cisco NX-OS和Cisco UCS Fabric Interconnect中禁用CDP的命令:

设备操作系统在接口上禁用CDP全局禁用CDP
Cisco NX-OS 在接口配置模式下使用no cdp enable命令。 在全局配置模式下使用no cdp enable命令。
Cisco FXOS 在应用于接口的每个nw-ctrl-policy中,使用disable cdp命令。 不适用
Cisco IOS-XR 在接口配置模式下使用no cdp命令。

在Cisco IOS-XR设备中,CDP默认禁用。
在全局配置模式下使用no cdp命令。

在Cisco IOS-XR设备中,CDP默认禁用。
Cisco IP摄像头固件 禁用CDP可能会影响设备功能。我们建议客户遵循网络分段最佳实践,以避免不受信任的设备发送CDP数据包,或使用可用的软件修补程序升级这些设备。请参阅安全公告,获取有关修复软件可用性的详细信息。(CVE-2020-3110)
Cisco IP电话固件 禁用CPD可能会影响设备功能。我们建议客户遵循网络分段最佳实践,以避免不受信任的设备发送CDP数据包,或使用可用的软件修补程序升级这些设备。请参阅安全公告,获取有关修复软件可用性的详细信息。(CVE-2020-3111)
Cisco UCS Fabric Interconnect 在应用于接口的每个nw-ctrl-policy中,使用disable cdp命令。 不适用

思科已经发布了修复这些漏洞的软件更新,每则安全公告均提供了有关如何获取修复软件的详细信息。

* 以上内容英文原文请点击这里