Ringkasan Eksekutif
1. Cisco Discovery Protocol (CDP) adalah protokol jaringan layer 2 yang digunakan
perangkat Cisco untuk mengumpulkan informasi tentang perangkat yang terhubung ke
jaringan.
2. CVE-2020-3119 merupakan kerentanan dalam implementasi Cisco Discovery Protocol
untuk Cisco NX-OS Software yang dapat memungkinkan penyerang tidak diautentikasi
untuk mengeksekusi kode perintah berbahaya pada perangkat yang terpengaruh.
Kerentanan ini ada karena parser Cisco Discovery Protocol tidak memvalidasi input dalam
pesan Cisco Discovery Protocol.
3. Eksploitasi pada kerentanan ini dapat memungkinkan penyerang melalui jaringan lokal
untuk menyebabkan penolakan layanan dengan melakukan reboot terhadap perangkat yang
menjalankan Cisco Discovery Protocol. Penyerang juga dapat menyebabkan stack
overflow, yang dapat memungkinkan penyerang mendapatkan hak administratif pada
perangkat yang terpengaruh. Untuk mengeksploitasi kerentanan ini, penyerang harus
berada dalam domain broadcast yang sama dengan perangkat yang terpengaruh (Layer 2
adjacent).
4. Kerentanan ini memengaruhi produk-produk Cisco seri berikut ini: Switch Nexus 3000,
Switch Nexus 5500, Switch Nexus 5600, Switch Nexus 6000, Switch Nexus 9000, UCS
6200, UCS 6300, dan UCS 6400.
5. Kerentanan ini memiliki nilai kerentanan CVSS v3 sebesar 8.8 dengan vector
CVSS:3.0/CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H dan bersifat HIGH.
6. Cisco telah merilis pembaruan perangkat lunak untuk mengatasi kerentanan CVE-2020-
3119.
7. Mengingat dampak yang mungkin muncul dari eksploitasi kerentanan ini, diharapkan
pengguna perangkat Cisco terdampak untuk segera melakukan tindakan-tindakan mitigasi
yang dijelaskan pada imbauan keamanan ini.
Cisco NX-OS
NX-OS adalah sistem operasi jaringan untuk switch Ethernet seri Nexus dan switch jaringan
area penyimpanan Fiber Channel seri MDS yang dibuat oleh Cisco Systems. NX-OS
merupakan evolusi dari sistem operasi Cisco SAN-OS yang awalnya dikembangkan untuk
switch MDS. NX-OS berbasis pada Wind River Linux dan dapat dioperasikan dengan sistem
operasi Cisco lainnya. Antarmuka baris perintah yang digunakan oleh NX-OS serupa dengan
Cisco IOS.
Gambar 1. Bagian source code NX-OS yang rentan terhadap stack overflow
Kerentanan di atas adalah stack overflow, dimana daemon CDP tidak menggunakan mitigasi
stack memory dengan baik. Meskipun ASLR digunakan oleh daemon CDP, namun daemon
CDP adalah 32 bit sehingga proses ASLR hanya efektif sebagian. Pada sebagian besar kasus,
ASLR 32 bit di Linux hanya mengacak satu byte alamat. Selain itu, seluruh peta memori digeser
dengan offset yang sama dan jarak antara dua shift ASLR yang berdekatan hanya 4KB,
membuat pergeseran ASLR maksimum - 1MB (256 * 4KB). Pada Gambar 2, terlihat bahwa
variabel Power Requested merupakan variabel yang rentan untuk dilakukan stack overflow.
Dampak Kerentanan
Eksploitasi pada kerentanan ini dapat memungkinkan penyerang melalui jaringan lokal untuk
menyebabkan penolakan layanan dengan melakukan reboot terhadap perangkat yang
menjalankan Cisco Discovery Protocol. Penyerang juga dapat menyebabkan stack overflow,
yang dapat memungkinkan penyerang mendapatkan hak administratif pada perangkat yang
terpengaruh. Untuk mengeksploitasi kerentanan ini, penyerang harus berada dalam domain
broadcast yang sama dengan perangkat yang terpengaruh (layer 2 adjacent). Karena daemon
CDP dijalankan dengan hak akses root, eksploitasi terhadap kerentanan ini akan
memungkinkan kontrol penuh penyerang terhadap perangkat yang ditargetkan, serta
memungkinkan untuk melompat antar VLAN berbeda dan menyebabkan kerusakan pada
struktur jaringan.
Untuk menonaktifkan Cisco Discovery Protocol secara global pada Cisco Nexus
Switches yang menjalankan Perangkat Lunak Cisco NX-OS, administrator dapat
menggunakan perintah no cdp enable dalam mode konfigurasi global, seperti yang
ditunjukkan dalam contoh berikut:
2. Memeriksa Status Cisco Discovery Protocol pada Cisco UCS Fabric Interconnects.
Administrator dapat menentukan apakah Cisco Discovery Protocol diaktifkan pada
perangkat dengan menggunakan show configuration | include "enable cdp"di CLI
perangkat.
Untuk menonaktifkan Cisco Discovery Protocol pada Cisco UCS Fabric Interconnects,
administrator dapat menggunakan perintah menonaktifkan cdp seperti yang ditunjukkan
dalam contoh berikut:
Nexus 5500 and 5600 Platform Switches and Nexus 6000 Series Switches
Cisco NX-OS Software Release First Fixed Release for This Vulnerability
Earlier than 7.1 7.3(6)N1(1)
7.1 7.3(6)N1(1)
7.3 7.3(6)N1(1)
Contoh berikut menunjukkan perintah untuk menginstal SMU untuk Cisco NX-OS
Software Release 7.0 (3) I7:
Riwayat Dokumen
Versi 1.0: Februari 2020