思科發(fā)布CDP漏洞聲明:已修復(fù)速更新!
美國(guó)時(shí)間2月5日,思科產(chǎn)品安全突發(fā)事件響應(yīng)團(tuán)隊(duì)(PSIRT)主動(dòng)披露了CDP(Cisco Discovery Protocol)部署過程中發(fā)現(xiàn)的漏洞,以及軟件修補(bǔ)資訊和緩解措施。
思科產(chǎn)品安全突發(fā)事件響應(yīng)團(tuán)隊(duì)(PSIRT)表示:“這些漏洞是由Armis的外部研究人員通告給我們的,思科感謝Armis團(tuán)隊(duì)與我們?cè)趨f(xié)同披露方面的合作。我們已經(jīng)提供修復(fù)這些漏洞的軟件,目前尚未得到任何惡意利用此漏洞的報(bào)告。”
思科對(duì)安全問題保持高度透明,一旦發(fā)現(xiàn)任何安全問題,都主動(dòng)公開并迅速處理,以確??蛻裟軌虻谝粫r(shí)間了解并解決問題。 二十多年前,思科建立了產(chǎn)品安全突發(fā)事件響應(yīng)團(tuán)隊(duì)(PSIRT),致力于清晰地傳達(dá)有關(guān)安全漏洞的信息,以便可以與客戶和合作伙伴緊密合作,減輕漏洞帶來的影響。思科與安全研究團(tuán)隊(duì)保持著透明開放的關(guān)系,并認(rèn)為這種協(xié)作對(duì)于保護(hù)客戶的網(wǎng)絡(luò)至關(guān)重要。
思科已經(jīng)發(fā)布了修復(fù)這些漏洞的軟件更新。下表提供了這些漏洞的摘要清單:
據(jù)悉,CDP(Cisco Discovery Protocol)是在思科設(shè)備上運(yùn)行的第2層協(xié)議,使網(wǎng)絡(luò)應(yīng)用了解附近的直接連接設(shè)備。此協(xié)議通過發(fā)現(xiàn)這些設(shè)備、確定它們的配置方式,并允許使用不同網(wǎng)絡(luò)層協(xié)議的系統(tǒng)相互了解,從而方便了對(duì)思科設(shè)備進(jìn)行管理。
有關(guān)這些漏洞的一些事實(shí)如下:
◆ 思科產(chǎn)品安全突發(fā)事件響應(yīng)團(tuán)隊(duì)(PSIRT)目前尚未得到任何惡意利用此漏洞的報(bào)告。
◆ 攻擊者必須與受影響的設(shè)備(相鄰的“第2層”)位于同一廣播域或子網(wǎng)中,才能利用漏洞(如下圖所示)。這些漏洞無法從互聯(lián)網(wǎng)或不同的廣播域/子網(wǎng)進(jìn)行利用。
◆ 運(yùn)行Cisco IOS和Cisco IOS-XE軟件的設(shè)備不受這些漏洞的影響。
◆ Cisco ASA、Cisco Firepower 1000系列和Cisco Firepower 2100系列不受這些漏洞的影響。
◆ Cisco FXOS軟件、Cisco IP攝像頭固件、Cisco IP電話固件、Cisco IOS-XR軟件、Cisco NX-OS軟件和Cisco UCS Fabric Interconnects受其中一個(gè)或多個(gè)漏洞的影響。
◆ 在Cisco IOS XR軟件中,CDP(Cisco Discovery Protocol)默認(rèn)禁用。
◆ 在Cisco FXOS軟件、Cisco IP攝像頭固件、Cisco IP電話固件、Cisco NX-OS軟件中,以及在Cisco UCS Fabric Interconnect上,CDP默認(rèn)啟用。
◆ 已知的安全最佳實(shí)踐是在所有與不受信任網(wǎng)絡(luò)相連接的接口上,禁用CDP。(按操作系統(tǒng)列出的安全最佳實(shí)踐可在網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備加固、取證和完整性保證流程中找到)。每個(gè)安全公告均提供有關(guān)如何確定您設(shè)備中是否啟用了CDP以及如何將其禁用的詳細(xì)信息。對(duì)于必須運(yùn)行CDP以支持特定功能的產(chǎn)品,我們建議客戶遵循網(wǎng)絡(luò)分段最佳實(shí)踐,以避免不受信任的設(shè)備發(fā)送CDP數(shù)據(jù)包,或使用可用的軟件修補(bǔ)程序升級(jí)這些設(shè)備。