工作场所电话和路由器潜藏糟糕安全漏洞的历史悠久。如今又到了再次添加安全清单的时候了:研究人员表示,思科(Cisco)企业级产品(如桌面电话、网络摄影机和网络交换机)最新发现的一系列安全漏洞,会有遭黑客利用渗透入侵至企业网络的风险。由于思科主宰全球网络设备市场,这些漏洞将对全球数百万台设备造成影响。
只要是软件,都会有漏洞,但考虑到潜在的间谍活动和漏洞修补的复杂性,也使嵌入式设备的问题更令人担忧。这些由企业安全公司Armis发现的特定漏洞,也能打破IT管理者用来隔离网络不同部分(如访客Wi-Fi)的“分区隔离”(Segmentation)机制,引发更广泛的安全问题。攻击者可锁定脆弱的Cisco网络交换机,拦截大量未加密的内部信息,并在目标系统的不同部分之间移动。攻击者可利用同样由Armis披露的相关弱点,立即对成批思科设备发动攻击(例如所有桌面电话或网络摄影机),进而关闭它们,或将它们变成监控目标组织内部的耳目。
CDP漏洞攻击能打破分区隔离,让网络访问控制机制破功
“网络分区隔离是确保物联网(IoT)设备安全的关键方式,”Armis研究副总裁Ben Seri表示:“但有时我们仍可找到漏洞。我们知道,企业设备已沦为全球性攻击目标,一旦潜藏这类型弱点,那么很不幸的,这无异是为高端持续性威胁(APT)黑客组织提供更强大的攻击养分。”
此漏洞存在于思科CDP(Cisco Discovery Protocol)协议机制实例,该协议允许思科产品在私有网络相互广播身份识别数据。CDP属网络“第二层”的一部分,创建网络设备之间的基本数据连接。所有设备都采用某种身份识别广播机制,但CDP是思科专属的版本。
通过让思考产品使用CDP将它们各自分离出来会有一些组织管理上的好处,但Seri指出,这也留下了攻击者进入某个网络后,能发现Cisco产品的简单方法。且由于所有思科产品都使用CDP,一个漏洞就能同步自动锁定多个设备,或接管如网络交换机等关键设备,然后再横向移动。任何第二层协议都可能有瑕疵;CDP漏洞为攻击无所不在的思科产品提供了特别有效的途径。
8月底,Armis向思科披露调查结果,今天这家网络巨头发布了针对所有5个漏洞的修补程序。会有这么多漏洞,是因为思科对不同产品采用稍微不同的方式执行CDP的缘故;Armis在整个披露过程发现相关漏洞,并与思科合作修补这些漏洞。
“2月5日,我们披露许多思科产品CDP协议实例的漏洞,以及可用的软件修复信息与缓解措施,”思科发言人声明表示:“我们尚未发现所描述漏洞的任何恶意使用之举。”
企业所有网络都可能沦陷,设备修补成为首要当务之急
想利用这些漏洞,攻击者必须先在目标网络找到一个立足点,找到后便能从那里迅速散开,然后逐一破坏有弱点的思科设备,进而深入系统。一旦攻击者控制了交换机或路由器,就能拦截未加密的网络数据(比如文件和通信封包),或访问公司的AD目录服务(管理用户和设备的身份验证)。
“攻击方式会采取逐一跳接(Hop by hop)。对黑客来说,仍需要初始的网络攻击载体,”曾披露许多思科程序瑕疵的IoT安全公司Red Balloon创办人Ang Cui表示:“一旦找到,每个跳接点(Hop)都有同样的弱点,如此一来,网络所有交换机、防火墙和路由器都可能受影响。所以黑客不得不拿下很多设备,但是一旦拥有所有设备,黑客实际上已接管网络每个区块了。”
Cui并指出,研究人员发现CDP漏洞并注意到的历史有数十年之久,因此思科可在利用发动漏洞攻击前修补,对此类企业级物联网漏洞的担忧不仅是理论上,美国国土安全部(Department of Homeland Security,DHS)已就企业网络基础设施安全防御的重要性发布了安全警示。
虽然思科发布的修补程序很重要,但Seri指出,大多数有弱点的设备不会自动更新,需要手动更新修补程序才能获得保护。这对企业交换机和路由器来说尤其困难,因为需要小心翼翼加以修补,以避免不必要的网络停机风险。公司还可以考虑其他缓解决方案法,也即在交换机等设备禁用CDP,但最终会产生其他问题。不论如何,有鉴于思科设备在全球企业网络无所不在,所以设备修补成为当务之急。
(首图来源:Cisco)