พบช่องโหว่ใหม่ใน VLAN Stacking กระทบหลาย Vendor แนะผู้ดูแลควรติดตามอัปเดต

cert.org ได้ออกเตือนถึงช่องโหว่ใหม่ที่เกิดขึ้นในกระบวนการทำ VLAN Stacking ที่นำไปสู่การเกิด DoS หรือ man-in-the-middle(MitM) โดยคาดว่ามีผลกระทบกับอุปกรณ์เครือข่ายของหลายค่ายแน่นอนแล้วคือ Cisco, Arista และ Juniper ผู้ดูแลระบบควรอัปเดต

VLAN Stacking คือฟีเจอร์ใน Router และ Switch ที่ทำให้สามารถ Encapsulate VLAN ID หลายตัวในการเชื่อมต่อ VLAN และแชร์อัปสตรีมกับผู้ให้บริการได้ ศูนย์เฝ้าระวัง cert.org ได้เปิดเผยวานนี้ว่ามีการแจ้งเตือน Vendor ของผู้ให้บริการอุปกรณ์เครือข่ายเพื่อตรวจสอบมาก่อนหน้าแล้ว แต่มีหลาย Vendor ยืนยันว่าตนได้รับผลกระทบ ซึ่งน่ากังวลว่าใครที่อาศัย VLAN เพื่อคัดกรองแบ่งแยกด้านความมั่นคงปลอดภัยอาจได้รับผลกระทบ โดยเฉพาะกับ Vendor อื่นที่ไม่ยืนยันหรือยังตรวจสอบไม่เสร็จ

แนวคิดของการโจมตีคือคนร้ายที่ไม่ได้พิสูจน์ตัวตนและอยู่ในเครือข่ายที่เชื่อมต่อกันสามารถใช้การผสมผสานของ VLAN และ LLC/SNAP Header เพื่อ Bypass การป้องกับระดับ Layer 2 ได้เช่น IPv6 RA guard, Dynamic ARP Inspection, IPv6 neighbor discovery Protection และ DHCP Snooping โดยเป็นสาเหตุของช่องโหว่ 4 รายการคือ

1. CVE-2021-27853 การผสมผสานระหว่าง VLAN 0 Header และ LLC/SNAP Header สามารถ Bypass การป้องกันของ IPv6 RA guard หรือ ARP inspection
2. CVE-2021-27854 ผสมผสาน VLAN 0 header, LLC/SNAP header ใน Ethernet WiFi frame Translation และ reverse WiFi to internet สามารถ Bypass การป้องกันของ IPv6 RA guard
3. CVE-2021-27861 ใช้ LLC/SNAP header ที่มีขนาดความยาวไม่ถูกต้อง (อีกทางเลือกคือ VLAN 0 header) เพื่อ Bypass การป้องกันของ IPv6 RA guard
4. CVE-2021-27862 ใช้ LLC/SNAP header ที่มีขนาดความยาวไม่ถูกต้องและ Ethernet to Wifi frame conversion (อีกทางเลือกคือ VLAN 0 header) เพื่อ Bypass การป้องกันของ IPv6 RA guard

ผลกระทบของช่องโหว่เหล่านี้คือนำไปสู่การ Route ทราฟฟิคไปยังปลายทาง เพียงแค่คนร้ายส่งแพ็จเกจที่ประดิษฐ์ขึ้นไปยังเหยื่อ ก็อาจสร้างการโจมตีแบบ DoS หรือแม้กระทั่ง MitM ซึ่งหากไม่ได้มีการเข้ารหัสข้อมูลไว้เหยื่ออาจถูกละเมิดเข้าถึงข้อมูลได้ ทั้งนี้สำหรับ Cisco ได้ออกแพตช์วานนี้เองที่ Security Bulletin พร้อมระบุถึง Switch, Router และ Software ที่ได้รับผลกระทบ ในกรณีของ Juniper ยืนยันว่า CVE-2021-27853 และ CVE-2021-27854 เป็นปัญหากับตนจริง โดยแพตช์ไปเมื่อปลายเดือนก่อนแล้ว สำหรับผลิตภัณฑ์ที่หมดอายุการ Support จากผู้ให้บริการแนะให้มีการเปลี่ยนอุปกรณ์ให้เร็วที่สุด หรืออีกหนึ่งทางคือแอดมินควรจำกัดเรื่องโปรโตคอลที่พอร์ตและเปิดการควบคุมด้านความมั่นคงปลอดภัยที่อินเทอร์เฟสและบล็อก Router Advertisement พร้อมทั้งคอยฟังการอัปเดตใหม่จากผู้ให้บริการด้วย

ติดตามรายชื่อของ Vendor ของตนว่าได้รับผลกระทบหรือไม่ ได้ที่ https://kb.cert.org/vuls/id/855201

ที่มา : https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/