IMBAUAN KEAMANAN

TERKAIT CISCO NX-OS SOFTWARE CISCO DISCOVERY PROTOCOL

REMOTE CODE EXECUTION VULNERABILITY
CVE-2020-3119

Ringkasan Eksekutif
1. Cisco Discovery Protocol (CDP) adalah protokol jaringan layer 2 yang digunakan
perangkat Cisco untuk mengumpulkan informasi tentang perangkat yang terhubung ke
jaringan.
2. CVE-2020-3119 merupakan kerentanan dalam implementasi Cisco Discovery Protocol
untuk Cisco NX-OS Software yang dapat memungkinkan penyerang tidak diautentikasi
untuk mengeksekusi kode perintah berbahaya pada perangkat yang terpengaruh.
Kerentanan ini ada karena parser Cisco Discovery Protocol tidak memvalidasi input dalam
pesan Cisco Discovery Protocol.
3. Eksploitasi pada kerentanan ini dapat memungkinkan penyerang melalui jaringan lokal
untuk menyebabkan penolakan layanan dengan melakukan reboot terhadap perangkat yang
menjalankan Cisco Discovery Protocol. Penyerang juga dapat menyebabkan stack
overflow, yang dapat memungkinkan penyerang mendapatkan hak administratif pada
perangkat yang terpengaruh. Untuk mengeksploitasi kerentanan ini, penyerang harus
berada dalam domain broadcast yang sama dengan perangkat yang terpengaruh (Layer 2
adjacent).
4. Kerentanan ini memengaruhi produk-produk Cisco seri berikut ini: Switch Nexus 3000,
Switch Nexus 5500, Switch Nexus 5600, Switch Nexus 6000, Switch Nexus 9000, UCS
6200, UCS 6300, dan UCS 6400.
5. Kerentanan ini memiliki nilai kerentanan CVSS v3 sebesar 8.8 dengan vector
CVSS:3.0/CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H dan bersifat HIGH.
6. Cisco telah merilis pembaruan perangkat lunak untuk mengatasi kerentanan CVE-2020-
3119.
7. Mengingat dampak yang mungkin muncul dari eksploitasi kerentanan ini, diharapkan
pengguna perangkat Cisco terdampak untuk segera melakukan tindakan-tindakan mitigasi
yang dijelaskan pada imbauan keamanan ini.

Cisco NX-OS
NX-OS adalah sistem operasi jaringan untuk switch Ethernet seri Nexus dan switch jaringan
area penyimpanan Fiber Channel seri MDS yang dibuat oleh Cisco Systems. NX-OS
merupakan evolusi dari sistem operasi Cisco SAN-OS yang awalnya dikembangkan untuk
switch MDS. NX-OS berbasis pada Wind River Linux dan dapat dioperasikan dengan sistem
operasi Cisco lainnya. Antarmuka baris perintah yang digunakan oleh NX-OS serupa dengan
Cisco IOS.

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)

Halaman 1 dari 7
Kerentanan
CVE-2020-3119 merupakan kerentanan dalam implementasi Cisco Discovery Protocol untuk
Cisco NX-OS Software yang dapat memungkinkan penyerang tidak diautentikasi untuk
mengeksekusi kode perintah berbahaya pada perangkat yang terpengaruh. Kerentanan ini ada
karena parser Cisco Discovery Protocol tidak memvalidasi input dalam pesan Cisco Discovery
Protocol. Berikut ini adalah bagian dari source pada NS-OS terdampak (v9.2.3) yang
menunjukkan adanya kerentanan untuk dapat dilakukan stack overflow akibat dari tidak
dilakukan validasi Type Length Values (TLV) dengan baik. Pada Gambar 1, ukuran buffer tidak
divalidasi dengan benar dan digunakan untuk menyalin data ke buffer ukuran tetap pada stack.

Gambar 1. Bagian source code NX-OS yang rentan terhadap stack overflow

Kerentanan di atas adalah stack overflow, dimana daemon CDP tidak menggunakan mitigasi
stack memory dengan baik. Meskipun ASLR digunakan oleh daemon CDP, namun daemon
CDP adalah 32 bit sehingga proses ASLR hanya efektif sebagian. Pada sebagian besar kasus,
ASLR 32 bit di Linux hanya mengacak satu byte alamat. Selain itu, seluruh peta memori digeser
dengan offset yang sama dan jarak antara dua shift ASLR yang berdekatan hanya 4KB,
membuat pergeseran ASLR maksimum - 1MB (256 * 4KB). Pada Gambar 2, terlihat bahwa
variabel Power Requested merupakan variabel yang rentan untuk dilakukan stack overflow.

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)

Halaman 2 dari 7
 Gambar 2. Variabel Power Requested rentan terhadap stack overflow

Dampak Kerentanan
Eksploitasi pada kerentanan ini dapat memungkinkan penyerang melalui jaringan lokal untuk
menyebabkan penolakan layanan dengan melakukan reboot terhadap perangkat yang
menjalankan Cisco Discovery Protocol. Penyerang juga dapat menyebabkan stack overflow,
yang dapat memungkinkan penyerang mendapatkan hak administratif pada perangkat yang
terpengaruh. Untuk mengeksploitasi kerentanan ini, penyerang harus berada dalam domain
broadcast yang sama dengan perangkat yang terpengaruh (layer 2 adjacent). Karena daemon
CDP dijalankan dengan hak akses root, eksploitasi terhadap kerentanan ini akan
memungkinkan kontrol penuh penyerang terhadap perangkat yang ditargetkan, serta
memungkinkan untuk melompat antar VLAN berbeda dan menyebabkan kerusakan pada
struktur jaringan.

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)

Halaman 3 dari 7
Nilai Kerentanan
Berdasarkan CVSS v3, kerentanan ini memiliki nilai 8.8 sehingga kerentanan ini termasuk
kategori HIGH.
(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

Gambar 3. Nilai kerentanan CVE-2020-3119 berdasarkan CVSS v3

Sistem Operasi yang Terdampak

Kerentanan ini memiliki dampak terhadap perangkat Cisco berikut ini:
• Nexus 3000 Series Switches
• Nexus 5500 Platform Switches
• Nexus 5600 Platform Switches
• Nexus 6000 Series Switches
• Nexus 9000 Series Fabric Switches
• Nexus 9000 Series Switches
• UCS 6200 Series Fabric Interconnects
• UCS 6300 Series Fabric Interconnects
• UCS 6400 Series Fabric Interconnects

Cisco Discovery Protocol diaktifkan pada produk-produk ini secara default.

Panduan Mitigasi Kerentanan

Untuk mengentahui apakah perangkat yang digunakan terdampak kerentanan, dapat dilakukan
pemeriksaan dengan langkah-langkah sebagai berikut:
1. Memeriksa Status Cisco Discovery Protocol untuk Cisco Nexus Switches
Administrator dapat menentukan apakah Cisco Discovery Protocol diaktifkan pada
perangkat dengan menggunakan show running-config cdp all | include “cdp enable”
di CLI perangkat.

nxos# show running-config cdp all | include "cdp enable"

cdp enable
cdp enable

Untuk menonaktifkan Cisco Discovery Protocol secara global pada Cisco Nexus
Switches yang menjalankan Perangkat Lunak Cisco NX-OS, administrator dapat
menggunakan perintah no cdp enable dalam mode konfigurasi global, seperti yang
ditunjukkan dalam contoh berikut:

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)

Halaman 4 dari 7
 nxos# conf t
Enter configuration commands, one per line. End with CNTL/Z.
nxos(config)# no cdp enable
nxos(config)# end
nxos# copy running-config startup-config
[########################################] 100%
Copy complete.

2. Memeriksa Status Cisco Discovery Protocol pada Cisco UCS Fabric Interconnects.
Administrator dapat menentukan apakah Cisco Discovery Protocol diaktifkan pada
perangkat dengan menggunakan show configuration | include "enable cdp"di CLI
perangkat.

ucs-fi# show configuration | include "enable cdp"

enable cdp
enable cdp

Untuk menonaktifkan Cisco Discovery Protocol pada Cisco UCS Fabric Interconnects,
administrator dapat menggunakan perintah menonaktifkan cdp seperti yang ditunjukkan
dalam contoh berikut:

ucs-fi# scope org

ucs-fi /org # enter nw-ctrl-policy default
ucs-fi /org/nw-ctrl-policy # disable cdp
ucs-fi /org/nw-ctrl-policy* # exit
ucs-fi /org* # exit
ucs-fi* # scope eth-storage
ucs-fi /eth-storage* # enter nw-ctrl-policy default
ucs-fi /eth-storage/nw-ctrl-policy* # disable cdp
ucs-fi /eth-storage/nw-ctrl-policy* # exit
ucs-fi /eth-storage* # exit
ucs-fi* # commit-buffer
ucs-fi#

3. Melakukan patch terhadap Cisco NX-OS Software.

Melakukan Patch Cisco NX-OS Software yang dapat diakses pada link berikut ini:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-
20200205-nxos-cdp-rce

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)

Halaman 5 dari 7
Berikut ini adalah versi Cisco NX-OS Software yang sudah tersedia patch dari
kerentanan ini.

Nexus 3000 Series Switches and Nexus 9000 Series Switches

Cisco NX-OS Software Release First Fixed Release for This Vulnerability
Earlier than 7.0(3)I 7.0(3)I7(8) (Feb 2020) or appropriate SMU1
7.0(3)I 7.0(3)I7(8) (Feb 2020) or appropriate SMU1
7.0(3)F2 9.3(2)
9.2 9.3(2)
9.3 9.3(2)

Nexus 5500 and 5600 Platform Switches and Nexus 6000 Series Switches
Cisco NX-OS Software Release First Fixed Release for This Vulnerability
Earlier than 7.1 7.3(6)N1(1)
7.1 7.3(6)N1(1)
7.3 7.3(6)N1(1)

Nexus 9000 Series Fabric Switches

Cisco NX-OS Software Release First Fixed Release for This Vulnerability
Earlier than 13.1 Not vulnerable
13.1 Not vulnerable
13.2 Not vulnerable
14.0 14.2(1j)
14.1 14.2(1j)
14.2 14.2(1j)

UCS 6200, 6300 and 6400 Series Fabric Interconnects

Cisco UCS Software Release First Fixed Release for This Vulnerability
Earlier than 3.2 3.2(3m) (Feb 2020)
3.2 3.2(3m) (Feb 2020)
4.0 4.0(4f)

Contoh berikut menunjukkan perintah untuk menginstal SMU untuk Cisco NX-OS
Software Release 7.0 (3) I7:

nx-os# install add bootflash:CSCvr09175-n9k_ALL-1.0.0-

7.0.3.I7.6.lib32_n9000.rpm activate
nx-os# install commit

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)

Halaman 6 dari 7
Referensi
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200205-
nxos-cdp-rce
[2] https://kb.cert.org/vuls/id/261385/
[3] https://tools.cisco.com/security/center/cvssCalculator.x?version=3.0&vector=CVSS:3.0/A
V:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Riwayat Dokumen
Versi 1.0: Februari 2020

Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)

Halaman 7 dari 7