数千万台のCisco機器にネットワーク侵入を許す脆弱性が判明、緊急パッチが配布される

世界最大のネットワーク機器開発企業であるCiscoのルーターやスイッチなどの機器に、ハッカーの攻撃によるネットワークへの侵入を許してしまう脆弱性が判明したと、サイバーセキュリティ企業のArmisが報告しています。今回見つかった脆弱性の影響を受けるCisco機器は数千万台に及ぶとみられ、Ciscoが緊急パッチを配布しています。

CDPwn: 5 Zero-Days in Cisco Discovery Protocol | Armis
https://www.armis.com/cdpwn/

Security Advisories | Cisco
https://tools.cisco.com/security/center/publicationListing.x

CDPwn vulnerabilities impact tens of millions of enterprise devices | ZDNet
https://www.zdnet.com/article/cdpwn-vulnerabilities-impact-tens-of-millions-of-enterprise-devices/

今回脆弱性が見つかったのはCiscoが独自に実装している「CDP」と呼ばれるプロトコルで、ネットワーク内のCisco機器の情報を検索するために使用されるもの。CDPのパケットはPoEの要求電力を示す領域を持っていますが、この領域が制限する値の範囲が不適切だったため、過度な値を入力することでスタックオーバーフローを引き起こせてしまうというのが今回の主な脆弱性です。CDPはCiscoのルーターやスイッチだけでなく、IP電話やカメラにも使われています。

高機能なルーターやスイッチには「VLAN」と呼ばれる、仮想的にネットワークを区切る機能が搭載されており、基本的には異なるVLANに存在するネットワーク機器は異なるネットワークにつながっているものとして扱われます。こうしたVLANの特性を生かし、企業の部署ごとにVLANを設定するなど、セキュリティ向上にVLANが使われる場合もあります。しかし、今回見つかった脆弱性により、そのVLANが破壊されるなどのネットワーク攻撃が可能であり、機密情報の流出といったセキュリティレベルの低下につながるとのこと。

実際にCiscoのスイッチ「Nexus Switch 3048」を使ってCDPの脆弱性を攻撃するデモ動画も公開されています。

CDPwn - Takeover of a Cisco Nexus Switch 3048 - YouTube


ゲスト用のVLANと社内用のVLANを区切ったスイッチがあり、ゲスト用のVLANにハッカーが接続し、社内用のVLANにはノートPCがつながれています。通常、この状態ではハッカーからノートPCの情報にアクセスすることはできません。

ハッカーがスイッチから送信されるCDPパケットを解析し、現在自分が接続しているVLANのIDなどの情報を入手しました。

先ほどの情報をもとに、CDPパケットが持っているPoEの要求電力を示す領域に対し、過度な要求値を入力したデータをスイッチに送信し、スタックオーバーフローを引き起こします。

攻撃が成功し、スイッチのコマンドを実行すると、ユーザー名・パスワードの抜き取りやVLANへIPアドレスを付与することができてしまいました。

社内のVLANに接続し、ノートPCの情報まで見ることができています。

また、CDPを用いてIP電話を乗っ取るデモ動画も公開されています。このデモではIP電話がブロードキャストされたCDPパケットを正当なパケットとして扱ってしまう脆弱性が利用されています。

Ciscoは脆弱性の報告を受け、対策用のパッチを配布しており、重要度はすべて4段階中2番目の高さである「高(High)」となっています。

Cisco FXOS, IOS XR, and NX-OS Software Cisco Discovery Protocol Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-fxnxos-iosxr-cdp-dos

Cisco NX-OS Software Cisco Discovery Protocol Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-nxos-cdp-rce

Cisco IOS XR Software Cisco Discovery Protocol Format String Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-iosxr-cdp-rce

Cisco IP Phone Remote Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-voip-phones-rce-dos

Cisco Video Surveillance 8000 Series IP Cameras Cisco Discovery Protocol Remote Code Execution and Denial of Service Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-ipcameras-rce-dos

CDPはOSI参照モデルではデータリンク層にあたり、LAN内でのみ動作するプロトコルであり、WANへ流入することはないため、インターネットからの攻撃はできません。しかし、脆弱性による攻撃を避けるためには、速やかにパッチを適用するか、パッチの適用が難しい場合はCisco機器の動作を監視し、不審な挙動を特定することが必要だとArmisは述べています。