- 문제가 발견된 프로토콜 : 디스커버리 프로토콜(CDP)
- 발견 업체 : 아미스(Armis)
- 통칭 : 시디폰(CDPwn)
- 익스플로잇 성공시 망분리 무용지물 및 수백만개의 장비를 원격으로 장악 가능
- 공격 성립 조건 : 이미 공격 표적이 된 네트워크에 접근이 된 상태여야함
- 5개의 취약점 중 4개는 원격 코드 실행 취약점 1개는 디도스(DDoS) 유발 취약점
1) CVE-2020-3118 : 포맷 문자열 오류, 스택 오버플로우를 시켜 원격코드 실행이 가능한 상태를 만들어 장비를 완전히 장악, 분리된 망을 넘나들 수 있게 된다
2) CVE-2020-3119 : 스택 오버플로우 통해 원격 코드실행, 공격자는 정상적인 CDP 패킷에 파워레벨을 살짝 올려 취약점을 발동시켜 장비를 장악
3) CVE-2020-3110 : 힙 오버플로우 취약점, 지나치게 큰 포트 ID 필드 값이 포함된 CDP 패킷을 전송해 익스플로잇, 원격 코드 실행이 이어짐
4) CVE-2020-3111 : 스택 오버플로우 취약점을 이용해 원격 코드 실행
5) CVE-2020-3120 : DDoS 취약점으로, 라우터의 CDP 데몬을 만들고 대량의 메모리 블록을 배정하여 DDoS를 일으켜 프로세스를 마비시킴
- 이 모든 취약점을 익스플로잇 하는 경우 다양한 공격이 일어남 -> "데이터 유출, 민감정보열람, DDoS, middle-attack, 트래픽 가로채기 등"
네줄 요약
1. 아미스(Armis)라는 회사에서 시스코의 레이어 2의 CDP 프로토콜에서 5개의 취약점을 발견
2. 취약점은 4개의 원격코드 실행 1개의 DDoS 취약점
3. 취약점을 활용하려면 네트워크에 침투해야하는 조건이 있지만 어렵지는 않음
4. 익스플로잇 성공 시 망분리를 무력화 할 수 있음
모르는 단어
1. CDP : 시스코 장비에서만 사용되는 2계층 프로토콜로서 이웃 장비에 정보를 파악하고 시스코 장비가 아닌 장비를 활성화시 기본적으로 비활성화되어 CISCO 장비끼리 구성정보 볼 수 있음
특히 스위치와 같이 접속 장비가 많을 때 유리, 네트워크에 등록된 로컬 시스코 장비들을 찾고 장비를 목록화 및 관리하기에 편리한 프로토콜
2. 망분리 : 외부 인터넷 망과 내부 인터넷망(업무용)을 분리 시키는 것, 안정성을 위해 시행
'보안기사 > 보안동향' 카테고리의 다른 글
| 아파치 톰캣 취약점 발견(고스트 캣) (0) | 2020.03.24 |
|---|---|
| D2C를 통한 망분리 공격 (0) | 2020.02.08 |
| 레몬 덕(lemon duck) (0) | 2020.02.07 |