累计通过IE学员人数:自2011年起累计1700人 当年422人 当月22人
咨询热线:0551-67222133咨询QQ:839898248,VX:Ciscolnfinity

近日,国家信息安全漏洞库(CNNVD)收到关于思科CDP设备多个安全漏洞情况的报送,包括思科视频监控8000系列IP摄像头CDP远程代码执行漏洞(CNNVD-202002-127、CVE-2020-3110)、思科VoIP电话CDP远程代码执行漏洞(CNNVD-202002-128、CVE-2020-3111)等多个漏洞。成功利用这些漏洞的攻击者,可以远程执行任意代码,获取系统权限。思科Firepower 1000 Series、IOS XRv 9000 Router、Nexus 1000V Switch、IP Conference Phone 7832、Video Surveillance 8000 Series IP Camera等多款设备均受此漏洞影响。目前,思科官方已发布漏洞补丁修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

思科公司是美国一家网络解决方案供应商,CDP是思科(Cisco)专有的第二层(数据链路层)网络协议,主要用来对本地连接的思科设备进行信息获取。几乎所有的思科产品,包括交换机、路由器、IP 电话和摄像头等,都实现了 CDP 协议,且这些设备出厂时均默认启用 CDP。

1、思科视频监控8000系列IP摄像头CDP远程代码执行漏洞(CNNVD-202002-127、CVE-2020-3110):

思科视频监控8000系列IP摄像头的CDP协议实现在解析数据包中的 DeviceID 字段时,存在堆溢出漏洞。通过利用此漏洞,攻击者可以对目标设备实施远程代码执行或拒绝服务攻击。

2、思科VoIP电话CDP远程代码执行漏洞(CNNVD-202002-128、CVE-2020-3111)

思科VoIP电话的CDP协议实现在解析CDP数据包中的PortID字段时,存在栈溢出漏洞。通过利用此漏洞,攻击者可以对目标设备实施远程代码执行或拒绝服务攻击。

3、思科IOS-XR CDP格式化字符串漏洞(CNNVD-202002-131、CVE-2020-3118)

思科IOS XR的CDP协议实现,在解析CDP请求包中的某些字符串字段时(比如设备 ID、端口 ID 等),存在格式化字符串漏洞。通过利用此漏洞,攻击者可以在目标路由器上执行任意代码,获取系统权限。

4、思科NX-OS CDP远程代码执行漏洞(CNNVD-202002-130、CVE-2020-3119)

运行有思科NX-OS软件的设备的CDP协议实现,在解析含有 PoE(Power over Ethernet)请求字段的CDP数据包时,存在栈溢出漏洞。通过利用此漏洞,攻击者可以在目标交换机上执行任意代码,获取系统权限。

5、思科FXOS、IOS XR、NX-OS CDP拒绝服务漏洞(CNNVD-202002-129、CVE-2020-3120)

运行有思科FXOS、IOS XR或NX-OS软件的设备,其CDP协议实现存在拒绝服务漏洞。通过利用此漏洞,攻击者可以对运行有这些软件的目标设备进行拒绝服务攻击。

二、危害影响

成功利用这些漏洞的攻击者,可以远程执行任意代码,获取系统权限。思科Firepower 1000 Series、IOS XRv 9000 Router、Nexus 1000V Switch、IP Conference Phone 7832、Video Surveillance 8000 Series IP Camera等多款设备均受此漏洞影响,具体如下:

【漏洞预警】关于思科CDP设备多个安全漏洞情况的通报
【漏洞预警】关于思科CDP设备多个安全漏洞情况的通报
【漏洞预警】关于思科CDP设备多个安全漏洞情况的通报

三、修复建议

目前,思科官方已发布漏洞补丁修复了漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方补丁地址如下:

https://tools.cisco.com/security/center/publicationListing.x

本通报由北京长亭科技有限公司、北京启明星辰信息安全技术有限公司等CNNVD技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn

疫情期间不能出门,你做了哪些秘密训练?如何短时间成为同学口中的神秘网工大神?方案在这里!拥有多年网络项目经验,精通思科、华为、H3C、Juniper等主流厂商配置专业讲师倾情教授,本课程含概了网络基础入门课:CCNA+HCIA所有知识点,内容丰富全面,价格低!包含网工职业发展介绍、网络基础原理、路由交换基础知识以及广域网模块等必备技术,每天2小时,一周学会搭建小型局域网,适合0基础在校小白快速入行!更多详情可联系QQ:839898248,微信:Ciscolnfinity,名额有限,点击下方链接快来报名吧
↓↓↓↓↓↓
https://ke.qq.com/course/1406048tuin=50ba6ed6

Copyright © 2011-2020 思唯网络学院 Swiers All Rights Reserved. | 浙ICP备17056685号