Что такое атаки CDP (Cisco Discovery Protocol)?

CDP — это протокол уровня 2, используемый устройствами Cisco; он используется для обнаружения других напрямую подключенных устройств Cisco в сети. Это позволяет устройствам автоматически настраивать свои соединения, что упрощает подключение и настройку.

Как правило, CDP включен на большинстве устройств Cisco. Поскольку маршрутизаторы не распространяют их, данные CDP передаются через периодические широковещательные рассылки, которые поддерживаются локально в таблице CDP устройств Cisco.

База данных CDP состоит из множества данных об устройстве, таких как возможности, IP-адрес, собственный VLAN, версия программного обеспечения, версия платформы и т. д. И когда вся эта информация попадает в руки злоумышленника через скомпрометированную систему, он может используйте эту информацию, чтобы найти эксплойты для атаки на сеть. Обычно выполняется как DoS-атака. Злоумышленник также может создавать поддельные пакеты CDP и пересылать их на другие устройства, поскольку CDP не аутентифицируется.

Возможные атаки:

• Атаки Telnet: Telnet — это небезопасный протокол, который может использоваться злоумышленником для удаленного доступа к сетевому устройству. И затем они могут запустить атаку грубой силы на виртуальный терминал на коммутаторе, чтобы взломать пароли.
• Атаки методом перебора пароля: для этого типа атаки злоумышленник использует список общих паролей вместе с программой, которая может установить сеанс telnet, используя каждое слово в списке словаря. Если пароль не взломан с помощью атаки по списку словарей, то на следующем этапе атаки методом грубой силы злоумышленник может использовать комбинированную атаку для взлома пароля.
• DoS-атака Telnet: Telnet может использоваться для DoS-атак, при этом злоумышленник может использовать ошибку в программном обеспечении сервера telnet, работающем на коммутаторе, которая может сделать службу telnet недоступной. Это можно использовать вместе с различными другими прямыми атаками, чтобы предотвратить удаленный доступ администраторов к жизненно важным устройствам и переключению управления во время атаки.
• CVE-2020-3110 или уязвимость RCE и DoS в IP-камерах видеонаблюдения Cisco серии 8000 CDP: Злоумышленник может использовать эту уязвимость, пересылая поддельные пакеты CDP на уязвимые IP-камеры. Эта уязвимость позволяет пользователю, не прошедшему проверку подлинности, удаленно выполнять код, это также может позволить им неожиданно перезагрузить затронутую камеру, что приведет к состоянию DoS.
• CVE-2020-3111 или уязвимость IP-телефонов Cisco, связанная с RCE и DoS. Это может позволить злоумышленнику, не имеющему на то права, выполнить RCE-атаку с привилегиями root, а также перезагрузить любой уязвимый IP-телефон, что приведет к состоянию, подобному DoS.
• CVE-2020-3118 или уязвимость форматной строки программного обеспечения Cisco IOS XR CDP: эта уязвимость в выполнении CDP для программного обеспечения Cisco IOS XR может позволить неавторизованному злонамеренному пользователю выполнить произвольный код, а также вызвать перезагрузку на уязвимом устройстве, что приведет к переполнение стека.

Предотвращения атак CDP:

Следующие пункты могут быть рассмотрены для предотвращения атак CDP.

• Пользователь может отключить CDP на устройствах или портах, где он не нужен, с помощью команды «no cdp run».
• Чтобы предотвратить атаки методом перебора пароля, пользователь должен часто менять свой пароль на надежный пароль.
• ACL (список управления доступом) можно использовать для ограничения доступа к линиям виртуального терминала.
• Пользователь должен отключить CDP на маршрутизаторах, подключенных к внешним сетям.

Обнаружение:

Изменения в CDP можно отслеживать с помощью монитора CDP, эта программа CDP помогает обнаруживать изменения CDP в сети; он может информировать пользователя, вызывая окно сообщения, а также может отправлять предупреждающие электронные письма. Поскольку с монитора CDP можно отправлять настраиваемые пакеты CDP, это также может быть полезно при атаках с подменой CDP.