CDP es un protocolo de Capa 2 utilizado por los dispositivos de Cisco; se utiliza para descubrir otros dispositivos Cisco conectados directamente en una red. Esto permite que los dispositivos configuren automáticamente sus conexiones, por lo que simplifica la conectividad y la configuración.
Generalmente, CDP está habilitado en la mayoría de los dispositivos Cisco. Como los enrutadores no los distribuyen, los datos CDP se transmiten a través de transmisiones periódicas que se mantienen localmente en la tabla CDP del dispositivo Cisco.
La base de datos de CDP se compone de una gran cantidad de datos sobre el dispositivo, como capacidades, dirección IP, VLAN nativa, versión de software, versión de la plataforma, etc. Y cuando toda esta información llega a manos de un usuario malicioso a través de un sistema comprometido, puede use esta información para encontrar exploits para atacar la red. Generalmente se lleva a cabo como un ataque DoS. Un usuario malintencionado también puede crear paquetes CDP falsificados y reenviarlos a otros dispositivos, ya que CDP no está autenticado.
Posibles ataques:
- Ataques de Telnet: Telnet es un protocolo inseguro que un usuario malintencionado puede utilizar para acceder de forma remota a un dispositivo de red. Y luego pueden lanzar un ataque de fuerza bruta contra la terminal virtual en el conmutador para descifrar contraseñas.
- Ataques de contraseña de fuerza bruta: para este tipo de ataque, el usuario malicioso usa una lista de contraseñas comunes junto con un programa que puede establecer una sesión de telnet usando cada palabra en la lista del diccionario. Si el ataque de la lista de diccionarios no descifra la contraseña, en el siguiente paso del ataque de fuerza bruta, el usuario malintencionado podría usar un ataque combinado para descifrar la contraseña.
- Ataque Telnet DoS: Telnet puede usarse para ataques DoS, en este, el usuario malintencionado puede explotar un error en el software del servidor telnet que se ejecuta en el conmutador que puede hacer que el servicio telnet sea inaccesible. Esto se puede usar junto con varios otros ataques directos para evitar que los administradores accedan de forma remota a los dispositivos vitales y cambien la administración durante un ataque.
- CVE-2020-3110 o la vulnerabilidad RCE y DoS en las cámaras IP de videovigilancia de la serie 8000 de Cisco CDP: un usuario malintencionado puede explotar esta vulnerabilidad al reenviar paquetes CDP falsificados a las cámaras IP afectadas, esta vulnerabilidad permite que un usuario no autenticado ejecute código de forma remota, también puede permitirles recargar una cámara afectada inesperadamente, lo que resulta en una condición DoS.
- CVE-2020-3111 o la vulnerabilidad RCE y DoS de los teléfonos IP de Cisco: esto podría permitir que un usuario malicioso no autorizado lleve a cabo un ataque RCE con privilegios de root y también puede permitirles recargar cualquier teléfono IP afectado que resulte en una condición similar a DoS.
- CVE-2020-3118 o la vulnerabilidad de string de formato del software CDP de Cisco IOS XR: esta vulnerabilidad en la ejecución de CDP para el software Cisco IOS XR podría permitir que un usuario malicioso no autorizado ejecute código arbitrario y también puede causar una recarga en el dispositivo afectado que resulta en un desbordamiento de pila.
Prevenciones contra ataques CDP:
Se pueden considerar los siguientes puntos para prevenir ataques CDP.
- El usuario puede deshabilitar el CDP en dispositivos o puertos donde no se necesita usando el comando «no cdp run».
- Para evitar ataques de contraseña de fuerza bruta, el usuario debe cambiar su contraseña con frecuencia por una contraseña segura.
- Se puede utilizar ACL ( Lista de control de acceso ) para limitar el acceso a las líneas de terminales virtuales.
- El usuario debe deshabilitar el CDP en los enrutadores que están conectados a las redes externas.
Detección:
Los cambios en CDP se pueden monitorear con la ayuda de un monitor CDP, este programa CDP ayuda a descubrir cambios CDP en la red; puede informar al usuario mediante un cuadro de mensaje y también puede enviar correos electrónicos de advertencia. Como es posible enviar paquetes CDP personalizados desde el monitor CDP, también puede ser útil en los ataques de suplantación de identidad de CDP.