美國時間2月5日，思科產(chǎn)品安全突發(fā)事件響應團隊（PSIRT）主動披露了CDP（Cisco Discovery Protocol）部署過程中發(fā)現(xiàn)的漏洞，以及軟件修補資訊和緩解措施。

思科產(chǎn)品安全突發(fā)事件響應團隊（PSIRT）表示：“這些漏洞是由Armis的外部研究人員通告給我們的，思科感謝Armis團隊與我們在協(xié)同披露方面的合作。我們已經(jīng)提供修復這些漏洞的軟件，目前尚未得到任何惡意利用此漏洞的報告。”

思科對安全問題保持高度透明，一旦發(fā)現(xiàn)任何安全問題，都主動公開并迅速處理，以確保客戶能夠第一時間了解并解決問題。 二十多年前，思科建立了產(chǎn)品安全突發(fā)事件響應團隊（PSIRT），致力于清晰地傳達有關(guān)安全漏洞的信息，以便可以與客戶和合作伙伴緊密合作，減輕漏洞帶來的影響。思科與安全研究團隊保持著透明開放的關(guān)系，并認為這種協(xié)作對于保護客戶的網(wǎng)絡至關(guān)重要。

思科已經(jīng)發(fā)布了修復這些漏洞的軟件更新。下表提供了這些漏洞的摘要清單：

據(jù)悉，CDP（Cisco Discovery Protocol）是在思科設備上運行的第2層協(xié)議，使網(wǎng)絡應用了解附近的直接連接設備。此協(xié)議通過發(fā)現(xiàn)這些設備、確定它們的配置方式，并允許使用不同網(wǎng)絡層協(xié)議的系統(tǒng)相互了解，從而方便了對思科設備進行管理。

有關(guān)這些漏洞的一些事實如下：

◆ 思科產(chǎn)品安全突發(fā)事件響應團隊（PSIRT）目前尚未得到任何惡意利用此漏洞的報告。

◆ 攻擊者必須與受影響的設備（相鄰的“第2層”）位于同一廣播域或子網(wǎng)中，才能利用漏洞（如下圖所示）。這些漏洞無法從互聯(lián)網(wǎng)或不同的廣播域/子網(wǎng)進行利用。

◆ 運行Cisco IOS和Cisco IOS-XE軟件的設備不受這些漏洞的影響。

◆ Cisco ASA、Cisco Firepower 1000系列和Cisco Firepower 2100系列不受這些漏洞的影響。

◆ Cisco FXOS軟件、Cisco IP攝像頭固件、Cisco IP電話固件、Cisco IOS-XR軟件、Cisco NX-OS軟件和Cisco UCS Fabric Interconnects受其中一個或多個漏洞的影響。

◆ 在Cisco IOS XR軟件中，CDP（Cisco Discovery Protocol）默認禁用。

◆ 在Cisco FXOS軟件、Cisco IP攝像頭固件、Cisco IP電話固件、Cisco NX-OS軟件中，以及在Cisco UCS Fabric Interconnect上，CDP默認啟用。

◆ 已知的安全最佳實踐是在所有與不受信任網(wǎng)絡相連接的接口上，禁用CDP。（按操作系統(tǒng)列出的安全最佳實踐可在網(wǎng)絡基礎(chǔ)設施設備加固、取證和完整性保證流程中找到）。每個安全公告均提供有關(guān)如何確定您設備中是否啟用了CDP以及如何將其禁用的詳細信息。對于必須運行CDP以支持特定功能的產(chǎn)品，我們建議客戶遵循網(wǎng)絡分段最佳實踐，以避免不受信任的設備發(fā)送CDP數(shù)據(jù)包，或使用可用的軟件修補程序升級這些設備。