美國(guó)時(shí)間2月5日，思科產(chǎn)品安全突發(fā)事件響應(yīng)團(tuán)隊(duì)（PSIRT）主動(dòng)披露了CDP（Cisco Discovery Protocol）部署過程中發(fā)現(xiàn)的漏洞，以及軟件修補(bǔ)資訊和緩解措施。

思科產(chǎn)品安全突發(fā)事件響應(yīng)團(tuán)隊(duì)（PSIRT）表示：“這些漏洞是由Armis的外部研究人員通告給我們的，思科感謝Armis團(tuán)隊(duì)與我們?cè)趨f(xié)同披露方面的合作。我們已經(jīng)提供修復(fù)這些漏洞的軟件，目前尚未得到任何惡意利用此漏洞的報(bào)告。”

思科對(duì)安全問題保持高度透明，一旦發(fā)現(xiàn)任何安全問題，都主動(dòng)公開并迅速處理，以確?？蛻裟軌虻谝粫r(shí)間了解并解決問題。 二十多年前，思科建立了產(chǎn)品安全突發(fā)事件響應(yīng)團(tuán)隊(duì)（PSIRT），致力于清晰地傳達(dá)有關(guān)安全漏洞的信息，以便可以與客戶和合作伙伴緊密合作，減輕漏洞帶來的影響。思科與安全研究團(tuán)隊(duì)保持著透明開放的關(guān)系，并認(rèn)為這種協(xié)作對(duì)于保護(hù)客戶的網(wǎng)絡(luò)至關(guān)重要。

思科已經(jīng)發(fā)布了修復(fù)這些漏洞的軟件更新。下表提供了這些漏洞的摘要清單：

據(jù)悉，CDP（Cisco Discovery Protocol）是在思科設(shè)備上運(yùn)行的第2層協(xié)議，使網(wǎng)絡(luò)應(yīng)用了解附近的直接連接設(shè)備。此協(xié)議通過發(fā)現(xiàn)這些設(shè)備、確定它們的配置方式，并允許使用不同網(wǎng)絡(luò)層協(xié)議的系統(tǒng)相互了解，從而方便了對(duì)思科設(shè)備進(jìn)行管理。

有關(guān)這些漏洞的一些事實(shí)如下：

◆ 思科產(chǎn)品安全突發(fā)事件響應(yīng)團(tuán)隊(duì)（PSIRT）目前尚未得到任何惡意利用此漏洞的報(bào)告。

◆ 攻擊者必須與受影響的設(shè)備（相鄰的“第2層”）位于同一廣播域或子網(wǎng)中，才能利用漏洞（如下圖所示）。這些漏洞無法從互聯(lián)網(wǎng)或不同的廣播域/子網(wǎng)進(jìn)行利用。

◆ 運(yùn)行Cisco IOS和Cisco IOS-XE軟件的設(shè)備不受這些漏洞的影響。

◆ Cisco ASA、Cisco Firepower 1000系列和Cisco Firepower 2100系列不受這些漏洞的影響。

◆ Cisco FXOS軟件、Cisco IP攝像頭固件、Cisco IP電話固件、Cisco IOS-XR軟件、Cisco NX-OS軟件和Cisco UCS Fabric Interconnects受其中一個(gè)或多個(gè)漏洞的影響。

◆ 在Cisco IOS XR軟件中，CDP（Cisco Discovery Protocol）默認(rèn)禁用。

◆ 在Cisco FXOS軟件、Cisco IP攝像頭固件、Cisco IP電話固件、Cisco NX-OS軟件中，以及在Cisco UCS Fabric Interconnect上，CDP默認(rèn)啟用。

◆ 已知的安全最佳實(shí)踐是在所有與不受信任網(wǎng)絡(luò)相連接的接口上，禁用CDP。（按操作系統(tǒng)列出的安全最佳實(shí)踐可在網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備加固、取證和完整性保證流程中找到）。每個(gè)安全公告均提供有關(guān)如何確定您設(shè)備中是否啟用了CDP以及如何將其禁用的詳細(xì)信息。對(duì)于必須運(yùn)行CDP以支持特定功能的產(chǎn)品，我們建議客戶遵循網(wǎng)絡(luò)分段最佳實(shí)踐，以避免不受信任的設(shè)備發(fā)送CDP數(shù)據(jù)包，或使用可用的軟件修補(bǔ)程序升級(jí)這些設(shè)備。