Les vulnérabilités CDPwn affectent des dizaines de millions d’appareils d’entreprise

Les chercheurs en sécurité ont dévoilé aujourd’hui les détails de cinq vulnérabilités affectant Cisco Discovery Protocol (CDP), largement déployé.

Les vulnérabilités, identifiées par la société de cybersécurité IoT Armis, ont été collectivement nommées CDPwn.

Ces failles affectent CDP, un protocole propriétaire de Cisco qui permet aux appareils Cisco de partager des informations entre eux via des messages de multidiffusion (diffusés à l’intérieur d’un réseau local).

Le protocole CDP est implémenté dans la grande majorité des produits Cisco et est utilisé depuis le milieu des années 90. Ce n’est pas un protocole bien connu, car il n’est pas exposé sur Internet et ne fonctionne qu’à l’intérieur des réseaux locaux.

Les bugs CDPwn peuvent prendre le contrôle des appareils Cisco

Dans un rapport publié hier, Armis indique que le protocole CDP est affecté par cinq vulnérabilités, dont quatre sont des bugs “d’exécution de code à distance” (RCE) qui peuvent permettre à un attaquant de prendre le contrôle de l’équipement Cisco qui exécute une implémentation vulnérable de la suite de protocoles CDP. Le cinquième bug est un problème de déni de service (DoS) qui peut être utilisé pour faire planter des appareils.

La bonne nouvelle, c’est que ces attaques ne peuvent être exploitées depuis internet. Comme expliqué ci-dessus, le protocole CDP ne fonctionne qu’à l’intérieur des réseaux locaux, au niveau de la couche liaison de données, et n’est pas exposé sur l’interface WAN d’un appareil – via laquelle proviennent la plupart des attaques Internet.

Pour l’exploiter, les attaquants ont donc besoin de prendre pied à l’intérieur d’un réseau local, a déclaré hier à ZDNet Ben Seri, vice-président de la recherche chez Armis, dans un e-mail.

Le point d’entrée peut être n’importe quoi, comme un objet connecté. Les pirates peuvent utiliser ce point d’entrée pour diffuser des messages CDP exploitant les bugs à l’intérieur d’un réseau local et prendre le contrôle d’un appareil Cisco.

Les cibles principales seraient les routeurs, commutateurs et pare-feu Cisco, qui détiennent les clés de l’ensemble du réseau d’une entreprise et qui sont livrés avec CDP activé par défaut.

Les vulnérabilités CDPwn – bien qu’elles ne soient pas utilisables pour pénétrer à distance dans le réseau sécurisé d’une organisation depuis Internet – peuvent être utilisées comme un outil de post exploitation, pour reprendre le contrôle de points clés tels que des routeurs et des commutateurs, pour supprimer la segmentation du réseau, puis de se déplacer latéralement à l’intérieur du réseau d’une entreprise pour attaquer d’autres appareils.

Mais CDP est également livré et activé par défaut dans d’autres produits Cisco, tels que les téléphones VoIP et les caméras IP. L’attaque CDPwn peut également être utilisée contre ces appareils, a déclaré Armis.

Les attaquants peuvent utiliser CDPwn pour prendre en le contrôle des équipements vulnérables tels que les téléphones et les caméras de sécurité, installer des logiciels malveillants, exfiltrer des données ou même écouter les appels et les flux vidéo.

Selon Armis, CDPwn a un impact sur tous les routeurs Cisco exécutant le système d’exploitation IOS XR, tous les commutateurs Nexus, les pare-feu Cisco Firepower, les systèmes Cisco NCS, toutes les caméras IP Cisco 8000 et tous les téléphones VoIP Cisco 7800 et 8800.

“Malheureusement, la plupart des vulnérabilités [CDPwn] RCE que nous avons découvertes sont de simples vulnérabilités de dépassement de tas ou de pile (Buffer ou heap overflow, ndlr), donc l’exploitation est tout à fait possible, et nous sommes parvenus à exécuter du code malveillant dans les exploits de démonstration que nous avons développés”, a déclaré Seri à ZDNet.

“Pour certains des appareils concernés, certaines mesures de protection existent pour empêcher que ces bugs ne soient exploitables, mais malheureusement ces mesures ne sont que partielles et pourraient être inversées”, a-t-il ajouté.

Les correctifs sont disponibles

Seri a déclaré à ZDNet qu’Armis avait contacté Cisco au sujet de leurs découvertes des mois auparavant. Cisco, pour son crédit, a travaillé pour corriger toutes les vulnérabilités de CDPwn.

Cisco a publié hier les correctifs des appareils affectés par les failles de sécurité en question et la liste exacte peut être trouvée sur le site dédié aux alertes de sécurité des produits Cisco. La liste exacte des vulnérabilités CDPwn est:    

• Vulnérabilité de déni de service de Cisco Discover Protocol pour Cisco FXOS, IOS XR et NX-OS, (CVE-2020-3120)     
• Vulnérabilité d’exécution de code à distance dans Cisco Discovery Protocol pour le logiciel Cisco NX-OS(CVE-2020-3119)    
• Vulnérabilité de formatage de chaîne dans Cisco Discovery Protocol pour IOS XR, (CVE-2020-3118)    
• Vulnérabilité d’exécution de code à distance et de déni de service du téléphone IP Cisco, (CVE-2020-3111)    
• Vulnérabilité d’exécution de code à distance et de déni de service dans le protocole Cisco Discovery Protocol pour les caméras IP Cisco Video Surveillance série 8000 (CVE-2020-3110)

Mais il existe également des situations dans lesquelles les administrateurs système ne peuvent pas appliquer de correctifs dès qu’ils sont disponibles. Dans ces cas, certaines procédures de protection temporaires existent également.

“Si possible – la désactivation du Cisco Discovery Protocol (CDP) devrait empêcher ces vulnérabilités d’être exploitables”, a déclaré Seri à ZDNet.

“La désactivation de CDP peut ne pas être une possibilité pour certains utilisateurs en entreprise, donc la meilleure façon d’atténuer le risque d’exploiter est d’obtenir une visibilité sur le comportement des appareils pour surveiller et identifier les activités anormales”, a ajouté Seri.

“Mais la meilleure solution est toujours de patcher le plus rapidement possible.”

Source : ZDNet.com