cert.org ได้ออกเตือนถึงช่องโหว่ใหม่ที่เกิดขึ้นในกระบวนการทำ VLAN Stacking ที่นำไปสู่การเกิด DoS หรือ man-in-the-middle(MitM) โดยคาดว่ามีผลกระทบกับอุปกรณ์เครือข่ายของหลายค่ายแน่นอนแล้วคือ Cisco, Arista และ Juniper ผู้ดูแลระบบควรอัปเดต
VLAN Stacking คือฟีเจอร์ใน Router และ Switch ที่ทำให้สามารถ Encapsulate VLAN ID หลายตัวในการเชื่อมต่อ VLAN และแชร์อัปสตรีมกับผู้ให้บริการได้ ศูนย์เฝ้าระวัง cert.org ได้เปิดเผยวานนี้ว่ามีการแจ้งเตือน Vendor ของผู้ให้บริการอุปกรณ์เครือข่ายเพื่อตรวจสอบมาก่อนหน้าแล้ว แต่มีหลาย Vendor ยืนยันว่าตนได้รับผลกระทบ ซึ่งน่ากังวลว่าใครที่อาศัย VLAN เพื่อคัดกรองแบ่งแยกด้านความมั่นคงปลอดภัยอาจได้รับผลกระทบ โดยเฉพาะกับ Vendor อื่นที่ไม่ยืนยันหรือยังตรวจสอบไม่เสร็จ
แนวคิดของการโจมตีคือคนร้ายที่ไม่ได้พิสูจน์ตัวตนและอยู่ในเครือข่ายที่เชื่อมต่อกันสามารถใช้การผสมผสานของ VLAN และ LLC/SNAP Header เพื่อ Bypass การป้องกับระดับ Layer 2 ได้เช่น IPv6 RA guard, Dynamic ARP Inspection, IPv6 neighbor discovery Protection และ DHCP Snooping โดยเป็นสาเหตุของช่องโหว่ 4 รายการคือ
- CVE-2021-27853 การผสมผสานระหว่าง VLAN 0 Header และ LLC/SNAP Header สามารถ Bypass การป้องกันของ IPv6 RA guard หรือ ARP inspection
- CVE-2021-27854 ผสมผสาน VLAN 0 header, LLC/SNAP header ใน Ethernet WiFi frame Translation และ reverse WiFi to internet สามารถ Bypass การป้องกันของ IPv6 RA guard
- CVE-2021-27861 ใช้ LLC/SNAP header ที่มีขนาดความยาวไม่ถูกต้อง (อีกทางเลือกคือ VLAN 0 header) เพื่อ Bypass การป้องกันของ IPv6 RA guard
- CVE-2021-27862 ใช้ LLC/SNAP header ที่มีขนาดความยาวไม่ถูกต้องและ Ethernet to Wifi frame conversion (อีกทางเลือกคือ VLAN 0 header) เพื่อ Bypass การป้องกันของ IPv6 RA guard
ผลกระทบของช่องโหว่เหล่านี้คือนำไปสู่การ Route ทราฟฟิคไปยังปลายทาง เพียงแค่คนร้ายส่งแพ็จเกจที่ประดิษฐ์ขึ้นไปยังเหยื่อ ก็อาจสร้างการโจมตีแบบ DoS หรือแม้กระทั่ง MitM ซึ่งหากไม่ได้มีการเข้ารหัสข้อมูลไว้เหยื่ออาจถูกละเมิดเข้าถึงข้อมูลได้ ทั้งนี้สำหรับ Cisco ได้ออกแพตช์วานนี้เองที่ Security Bulletin พร้อมระบุถึง Switch, Router และ Software ที่ได้รับผลกระทบ ในกรณีของ Juniper ยืนยันว่า CVE-2021-27853 และ CVE-2021-27854 เป็นปัญหากับตนจริง โดยแพตช์ไปเมื่อปลายเดือนก่อนแล้ว สำหรับผลิตภัณฑ์ที่หมดอายุการ Support จากผู้ให้บริการแนะให้มีการเปลี่ยนอุปกรณ์ให้เร็วที่สุด หรืออีกหนึ่งทางคือแอดมินควรจำกัดเรื่องโปรโตคอลที่พอร์ตและเปิดการควบคุมด้านความมั่นคงปลอดภัยที่อินเทอร์เฟสและบล็อก Router Advertisement พร้อมทั้งคอยฟังการอัปเดตใหม่จากผู้ให้บริการด้วย
ติดตามรายชื่อของ Vendor ของตนว่าได้รับผลกระทบหรือไม่ ได้ที่ https://kb.cert.org/vuls/id/855201