A network switch

広く採用されている「スタック VLAN」イーサネット機能の 4 つの脆弱性により、攻撃者は、カスタム クラフトされたパケットを使用して、ネットワーク ターゲットに対してサービス妨害 (DoS) または中間者 (MitM) 攻撃を実行できます。

VLAN スタッキングとも呼ばれるスタック VLAN は、企業が複数の VLAN ID をアップストリーム プロバイダーと共有される単一の VLAN 接続にカプセル化できる最新のルーターおよびスイッチの機能です。

「スタック VLAN を使用すると、サービス プロバイダーは固有の VLAN (サービス プロバイダー VLAN ID、または SP-VLAN ID と呼ばれる) を使用して、複数の VLAN を持つ顧客をサポートできます。顧客の VLAN ID (CE-VLAN ID) は保持され、異なるトラフィックからのトラフィックが保持されます。顧客は、同じ VLAN 上にあるように見えても、サービス プロバイダー インフラストラクチャ内で分離されます」と、この機能に関するシスコのドキュメントは説明しています。

CERT Coordination Centerは、デバイス ベンダーに調査、対応、およびセキュリティ アップデートのリリースの時間を与えた後、昨日、欠陥を公開しました。

この脆弱性は、レイヤー 2 (L2) セキュリティ コントロールを使用してトラフィックをフィルタリングし、仮想ネットワークを分離するスイッチ、ルーター、オペレーティング システムなどのネットワーク デバイスに影響を与えます。

Cisco と Juniper Networks は、自社製品の一部がこの欠陥の影響を受けることを確認していますが、多くのデバイス ベンダーは調査を完了していません。したがって、全体的な影響は不明のままです。

問題の詳細と意味

脆弱性は、仮想ローカル エリア ネットワーク (VLAN) ヘッダーのスタッキングを可能にするイーサネット カプセル化プロトコルに存在します。

認証されていない隣接する攻撃者は、VLAN ヘッダーと LLC/SNAP ヘッダーの組み合わせを使用して、IPv6 RA ガード、動的 ARP インスペクション、IPv6 近隣探索保護、DHCP スヌーピングなどの L2 ネットワーク フィルタリング保護をバイパスできます。

4 つの脆弱性は次のとおりです。

  • CVE-2021-27853 IPv6 RA ガードや ARP インスペクションなどのレイヤ 2 ネットワーク フィルタリング機能は、VLAN 0 ヘッダーと LLC/SNAP ヘッダーの組み合わせを使用してバイパスできます。
  • CVE-2021-27854 IPv6 RA ガードなどのレイヤー 2 ネットワーク フィルタリング機能は、VLAN 0 ヘッダー、Ethernet から Wifi フレームへの変換における LLC/SNAP ヘッダー、およびその逆の Wifi から Ethernet の組み合わせを使用してバイパスできます。
  • CVE-2021-27861 IPv6 RA ガードなどのレイヤー 2 ネットワーク フィルタリング機能は、無効な長さの LLC/SNAP ヘッダー (およびオプションで VLAN0 ヘッダー) を使用してバイパスできます。
  • CVE-2021-27862 IPv6 RA ガードなどのレイヤー 2 ネットワーク フィルタリング機能は、無効な長さの LLC/SNAP ヘッダーとイーサネットから Wifi フレームへの変換 (およびオプションで VLAN0 ヘッダー) を使用してバイパスできます。

攻撃者は、これらの欠陥を個別に悪用することで、ターゲット デバイスをだましてトラフィックを任意の宛先にルーティングすることができます。

「攻撃者は、脆弱なデバイスを介して巧妙に細工されたパケットを送信し、サービス拒否 (DoS) を引き起こしたり、ターゲット ネットワークに対して中間者 (MitM) 攻撃を実行したりすることができます」と CERT Coordination Center は警告しています。

後者はより深刻なシナリオです。データが暗号化されていない場合、攻撃者はネットワーク トラフィックを監視し、機密情報にアクセスする可能性があります。

注意すべき点の 1 つは、最新のクラウドベースの仮想化および仮想ネットワーク製品では、L2 ネットワーク機能が LAN を超えて拡張されているため、これらの欠陥がインターネットにまで及ぶ可能性があるということです。

軽減策とパッチ

ジュニパーネットワークスは、CVE-2021-27853 および CVE-2021-27854 が一部の製品に影響を与えることを確認し、2022 年 8 月 25 日にセキュリティ アップデートをリリースしました。

同社はこの問題に関するセキュリティ情報を公開していないため、すべての顧客はデバイスにセキュリティ アップデートを適用することをお勧めします。

シスコは昨日セキュリティ速報をリリースし、同社のネットワーク製品の多くが CVE-2021-27853 および CVE-2021-27861 の影響を受けることを確認しました。

影響を受ける製品には、スイッチ、ルーター、およびソフトウェアが含まれますが、アドバイザリの表によると、それらのほとんどの修正プログラムは提供されません。

また、生産終了した製品は欠陥に対して評価されていないため、脆弱性があると見なされ、できるだけ早く交換される可能性があります。

すべてのネットワーク管理者は、アクセス ポートで使用されるプロトコルを精査して制限し、利用可能なすべてのインターフェイス セキュリティ コントロールを有効にし、ルーター アドバタイズメントを検査してブロックし、ベンダー セキュリティ アップデートが利用可能になったらすぐに適用することをお勧めします。