พบช่องโหว่ใหม่ใน VLAN Stacking กระทบหลาย Vendor แนะผู้ดูแลควรติดตามอัปเดต

September 29, 2022 Cisco, Cybersecurity, Juniper Networks, Network Security, Products, Vulnerability and Risk Management

cert.org ได้ออกเตือนถึงช่องโหว่ใหม่ที่เกิดขึ้นในกระบวนการทำ VLAN Stacking ที่นำไปสู่การเกิด DoS หรือ man-in-the-middle(MitM) โดยคาดว่ามีผลกระทบกับอุปกรณ์เครือข่ายของหลายค่ายแน่นอนแล้วคือ Cisco, Arista และ Juniper ผู้ดูแลระบบควรอัปเดต

Credit: ShutterStock.com

VLAN Stacking คือฟีเจอร์ใน Router และ Switch ที่ทำให้สามารถ Encapsulate VLAN ID หลายตัวในการเชื่อมต่อ VLAN และแชร์อัปสตรีมกับผู้ให้บริการได้ ศูนย์เฝ้าระวัง cert.org ได้เปิดเผยวานนี้ว่ามีการแจ้งเตือน Vendor ของผู้ให้บริการอุปกรณ์เครือข่ายเพื่อตรวจสอบมาก่อนหน้าแล้ว แต่มีหลาย Vendor ยืนยันว่าตนได้รับผลกระทบ ซึ่งน่ากังวลว่าใครที่อาศัย VLAN เพื่อคัดกรองแบ่งแยกด้านความมั่นคงปลอดภัยอาจได้รับผลกระทบ โดยเฉพาะกับ Vendor อื่นที่ไม่ยืนยันหรือยังตรวจสอบไม่เสร็จ

แนวคิดของการโจมตีคือคนร้ายที่ไม่ได้พิสูจน์ตัวตนและอยู่ในเครือข่ายที่เชื่อมต่อกันสามารถใช้การผสมผสานของ VLAN และ LLC/SNAP Header เพื่อ Bypass การป้องกับระดับ Layer 2 ได้เช่น IPv6 RA guard, Dynamic ARP Inspection, IPv6 neighbor discovery Protection และ DHCP Snooping โดยเป็นสาเหตุของช่องโหว่ 4 รายการคือ

  1. CVE-2021-27853 การผสมผสานระหว่าง VLAN 0 Header และ LLC/SNAP Header สามารถ Bypass การป้องกันของ IPv6 RA guard หรือ ARP inspection
  2. CVE-2021-27854 ผสมผสาน VLAN 0 header, LLC/SNAP header ใน Ethernet WiFi frame Translation และ reverse WiFi to internet สามารถ Bypass การป้องกันของ IPv6 RA guard
  3. CVE-2021-27861 ใช้ LLC/SNAP header ที่มีขนาดความยาวไม่ถูกต้อง (อีกทางเลือกคือ VLAN 0 header) เพื่อ Bypass การป้องกันของ IPv6 RA guard
  4. CVE-2021-27862 ใช้ LLC/SNAP header ที่มีขนาดความยาวไม่ถูกต้องและ Ethernet to Wifi frame conversion (อีกทางเลือกคือ VLAN 0 header) เพื่อ Bypass การป้องกันของ IPv6 RA guard

ผลกระทบของช่องโหว่เหล่านี้คือนำไปสู่การ Route ทราฟฟิคไปยังปลายทาง เพียงแค่คนร้ายส่งแพ็จเกจที่ประดิษฐ์ขึ้นไปยังเหยื่อ ก็อาจสร้างการโจมตีแบบ DoS หรือแม้กระทั่ง MitM ซึ่งหากไม่ได้มีการเข้ารหัสข้อมูลไว้เหยื่ออาจถูกละเมิดเข้าถึงข้อมูลได้ ทั้งนี้สำหรับ Cisco ได้ออกแพตช์วานนี้เองที่ Security Bulletin พร้อมระบุถึง Switch, Router และ Software ที่ได้รับผลกระทบ ในกรณีของ Juniper ยืนยันว่า CVE-2021-27853 และ CVE-2021-27854 เป็นปัญหากับตนจริง โดยแพตช์ไปเมื่อปลายเดือนก่อนแล้ว สำหรับผลิตภัณฑ์ที่หมดอายุการ Support จากผู้ให้บริการแนะให้มีการเปลี่ยนอุปกรณ์ให้เร็วที่สุด หรืออีกหนึ่งทางคือแอดมินควรจำกัดเรื่องโปรโตคอลที่พอร์ตและเปิดการควบคุมด้านความมั่นคงปลอดภัยที่อินเทอร์เฟสและบล็อก Router Advertisement พร้อมทั้งคอยฟังการอัปเดตใหม่จากผู้ให้บริการด้วย

ติดตามรายชื่อของ Vendor ของตนว่าได้รับผลกระทบหรือไม่ ได้ที่ https://kb.cert.org/vuls/id/855201

ที่มา : https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Salesforce เข้าซื้อกิจการ Fin มูลค่าราว 3,600 ล้านดอลลาร์ เสริมแกร่ง AI Agent งานบริการลูกค้า

Salesforce ประกาศลงนามข้อตกลงขั้นสุดท้ายเข้าซื้อกิจการ Fin ผู้ให้บริการแพลตฟอร์ม customer agent ในมูลค่าราว 3,600 ล้านดอลลาร์สหรัฐ เพื่อนำเทคโนโลยี AI Agent สำหรับงานบริการลูกค้ามาเสริมความสามารถให้กับ Agentforce

Cisco ออกแพตช์แก้ช่องโหว่ Zero-day บน Catalyst SD-WAN Manager ที่ถูกใช้โจมตียกระดับสิทธิ์เป็น root

Cisco ปล่อยอัปเดตด้านความปลอดภัยแก้ช่องโหว่บน Catalyst SD-WAN Manager (เดิมคือ SD-WAN vManage) หลังพบว่าถูกใช้โจมตีจริงในลักษณะ Zero-day เพื่อยกระดับสิทธิ์เป็น root บนระบบที่ได้รับผลกระทบ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand