工作场所电话和路由器潜藏糟糕安全漏洞的历史悠久。如今又到了再次新增安全清单的时候了:研究人员表示,思科(Cisco)企业级产品(如桌上型电话、网络摄影机和网络交换器)最新发现的一系列安全漏洞,会有遭骇客利用渗透入侵至企业网络的风险。由于思科主宰全球网络设备市场,这些漏洞将对全球数百万台装置造成影响。
只要是软件,都会有漏洞,但考虑到潜在的间谍活动和漏洞修补的复杂性,也使嵌入式装置的问题更令人担忧。这些由企业安全公司 Armis 发现的特定漏洞,也能打破 IT 管理者用来隔离网络不同部分(如访客 Wi-Fi)的“分区隔离”(Segmentation)机制,引发更广泛的安全问题。攻击者可锁定脆弱的 Cisco 网络交换器,拦截大量未加密的内部资讯,并在目标系统的不同部分之间移动。攻击者可利用同样由 Armis 揭露的相关弱点,立即对成批思科装置发动攻击(例如所有桌上型电话或网络摄影机),进而关闭它们,或将它们变成监控目标组织内部的耳目。
CDP 漏洞攻击能打破分区隔离,让网络存取控制机制破功
“网络分区隔离是确保物联网(IoT)装置安全的关键方式,”Armis 研究副总裁 Ben Seri 表示:“但有时我们仍可找到漏洞。我们知道,企业装置已沦为全球性攻击目标,一旦潜藏这类型弱点,那么很不幸的,这无异是为进阶持续性威胁(APT)骇客组织提供更强大的攻击养分。”
此漏洞存在于思科 CDP(Cisco Discovery Protocol)协定机制实作,该协定允许思科产品在私有网络相互广播身份辨识资料。CDP 属网络“第二层”的一部分,建立网络装置之间的基本资料连结。所有装置都采用某种身份辨识广播机制,但 CDP 是思科专属的版本。
透过让思考产品使用 CDP 将它们各自分离出来会有一些组织管理上的好处,但 Seri 指出,这也留下了攻击者进入某个网络后,能发现 Cisco 产品的简单方法。且由于所有思科产品都使用 CDP,一个漏洞就能同步自动锁定多个装置,或接管如网络交换器等关键装置,然后再横向移动。任何第二层协定都可能有瑕疵;CDP 漏洞为攻击无所不在的思科产品提供了特别有效的途径。
8 月底,Armis 向思科揭露调查结果,今天这家网络巨头发布了针对所有 5 个漏洞的修补程式。会有这么多漏洞,是因为思科对不同产品采用稍微不同的方式执行 CDP 的缘故;Armis 在整个揭露过程发现相关漏洞,并与思科合作修补这些漏洞。
“2 月 5 日,我们揭露许多思科产品 CDP 协定实作的漏洞,以及可用的软件修复资讯与缓解措施,”思科发言人声明表示:“我们尚未发现所描述漏洞的任何恶意使用之举。”
企业所有网络都可能沦陷,装置修补成为首要当务之急
想利用这些漏洞,攻击者必须先在目标网络找到一个立足点,找到后便能从那里迅速散开,然后逐一破坏有弱点的思科装置,进而深入系统。一旦攻击者控制了交换器或路由器,就能拦截未加密的网络资料(比如档案和通讯封包),或存取公司的 AD 目录服务(管理使用者和装置的身份验证)。
“攻击方式会采取逐一跳接(Hop by hop)。对骇客来说,仍需要初始的网络攻击载体,”曾揭露许多思科程式瑕疵的 IoT 安全公司 Red Balloon 创办人 Ang Cui 表示:“一旦找到,每个跳接点(Hop)都有同样的弱点,如此一来,网络所有交换器、防火墙和路由器都可能受影响。所以骇客不得不拿下很多装置,但是一旦拥有所有装置,骇客实际上已接管网络每个区块了。”
Cui 并指出,研究人员发现 CDP 漏洞并注意到的历史有数十年之久,因此思科可在利用发动漏洞攻击前修补,对此类企业级物联网漏洞的担忧不仅是理论上,美国国土安全部(Department of Homeland Security,DHS)已就企业网络基础设施安全防御的重要性发布了安全警示。
虽然思科发布的修补程式很重要,但 Seri 指出,大多数有弱点的装置不会自动更新,需要手动更新修补程式才能获得保护。这对企业交换器和路由器来说尤其困难,因为需要小心翼翼加以修补,以避免不必要的网络停机风险。公司还可以考虑其他缓解方法,亦即在交换器等装置禁用 CDP,但最终会产生其他问题。不论如何,有鉴于思科设备在全球企业网络无所不在,所以装置修补成为当务之急。
- Cisco Flaws Put Millions of Workplace Devices at Risk
(首图来源:Cisco)
