Cisco-Router, Switches, IP-Telefone und Kameras sind von 5 schwerwiegenden Sicherheitslücken betroffen

Mehrere von Cisco hergestellte Netzwerkausrüstungen wurden für fünf neue Sicherheitslücken verantwortlich gemacht, die es Hackern ermöglichen könnten, die vollständige Kontrolle über sie und anschließend über die von ihnen betriebenen Unternehmensnetzwerke zu übernehmen.

Vier der fünf hochgradig gefährlichen Fehler sind Probleme bei der Remotecodeausführung, die Cisco-Router, Switches und IP-Kameras betreffen, während die fünfte Schwachstelle ein Denial-of-Service Problem ist, das Cisco IP-Telefone betrifft.

Zusammenfassend bezeichnet als CDPwn Die gemeldeten Schwachstellen liegen in den verschiedenen Implementierungen des Cisco Discovery Protocol (CDP), das auf praktisch allen Cisco-Geräten standardmäßig aktiviert ist und nicht abgeschaltet werden kann.

Das Cisco Discovery Protocol (CDP) ist ein Verwaltungsprotokoll, das auf Schicht 2 des Internet Protocol (IP)-Stacks arbeitet. Das Protokoll wurde entwickelt, damit Geräte Informationen über andere lokal angeschlossene Cisco-Geräte im selben Netzwerk ermitteln können.

Laut einem Bericht, den das Armis-Forschungsteam mitteilte, enthalten die zugrunde liegenden CDP-Implementierungen Pufferüberlauf- und Formatierungsstring-Schwachstellen, die entfernte Angreifer im selben Netzwerk beliebigen Code auf den verwundbaren Geräten ausführen lassen könnten, indem sie bösartige, nicht authentifizierte CDP-Pakete senden.

Die Liste der CDPwn Cisco-Schwachstellen, die Zehnmillionen von Geräten betreffen, die in Unternehmensnetzwerken weit verbreitet sind, lautet wie folgt:

  • Cisco NX-OS-Stapelüberlauf in der Leistungsanforderung TLV (CVE-2020-3119)
  • Cisco IOS XR Format String-Schwachstelle in mehreren TLVs (CVE-2020-3118)
  • Cisco IP-Telefon-Stapelüberlauf in PortID TLV (CVE-2020-3111)
  • Cisco IP-Kameras Heap-Überlauf in DeviceID TLV (CVE-2020-3110)
  • Cisco FXOS, IOS XR und NX-OS Ressourcenerschöpfung in den Adressen TLV (CVE-2020-3120)


Da CDP ein Data-Link-Layer-2-Protokoll ist, das die Grenzen eines lokalen Netzwerks nicht überschreiten kann, muss ein Angreifer zunächst im selben Netzwerk sein, um CDPwn-Schwachstellen auszunutzen.Nachdem ein Angreifer jedoch zunächst in einem Zielnetzwerk mit separaten Schwachstellen Fuß gefasst hat, kann er CDPwn gegen Netzwerk-Switches ausnutzen, um die Netzwerksegmentierung zu durchbrechen und sich seitlich über die Unternehmensnetzwerke zu anderen sensiblen Systemen und Daten zu bewegen.

"Die Kontrolle über den Switch zu gewinnen, ist auf andere Weise nützlich. So ist der Switch beispielsweise in einer hervorragenden Position, um den Netzwerkverkehr zu belauschen, der den Switch durchquert, und er kann sogar dazu verwendet werden, Man-in-the-Middle-Angriffe auf den Verkehr von Geräten zu starten, der den Switch durchquert", so die Forscher.

"Ein Angreifer kann versuchen, sich seitlich über Segmente hinweg zu bewegen und Zugang zu wertvollen Geräten wie IP-Telefonen oder Kameras zu erhalten. Im Gegensatz zu Switches enthalten diese Geräte sensible Daten direkt, und der Grund, sie zu übernehmen, kann ein Ziel eines Angreifers sein, und nicht nur ein Weg, aus der Segmentierung auszubrechen".

Zusätzlich erlauben es CDPwn-Fehler den Angreifern auch, dies zu tun:

  • Abhören von Sprach- und Videodaten/Anrufen und Videoeingaben von IP-Telefonen und Kameras, Erfassen von sensiblen Gesprächen oder Bildern.
  • Exfiltrieren Sie sensible Unternehmensdaten, die über die Switches und Router des Unternehmensnetzwerks fließen.
  • Kompromittieren Sie zusätzliche Geräte, indem Sie Man-in-the-Middle-Angriffe nutzen, um den Datenverkehr auf dem Unternehmens-Switch abzufangen und zu verändern.


Neben der Veröffentlichung eines detaillierten technischen Berichts zu den Themen hat das Armis-Forschungsteam auch Videos zur Erklärung und Demonstration der Mängel, wie oben eingebettet, zur Verfügung gestellt.Nach der engen Zusammenarbeit mit den Forschern von Armis in den letzten Monaten bei der Entwicklung von Sicherheitspatches hat Cisco heute Software-Updates für alle betroffenen Produkte veröffentlicht.

Obwohl Cisco auch einige Informationen zur Schadensbegrenzung zur Verfügung gestellt hat, wird betroffenen Administratoren nach wie vor dringend empfohlen, die neuesten Software-Updates zu installieren, um ihre wertvollen Netzwerke vollständig vor Malware und neu auftretenden Online-Bedrohungen zu schützen.