以太网VLAN堆叠缺陷让黑客发起DoS、MiTM攻击

广泛采用的“堆叠VLAN”以太网功能中存在四个漏洞，使得攻击者能够使用定制的数据包对网络目标进行拒绝服务(DoS)或中间人(MitM)攻击。

堆叠VLAN，也称为VLAN堆叠，是现代路由器和交换机的一项功能，允许公司将多个VLAN ID封装到与上游提供商共享的单个VLAN连接中。

通过堆叠VLAN，服务提供商可以使用唯一的VLAN(称为服务提供商VLAN ID，或SP-VLAN ID)来支持拥有多个VLAN的客户。客户VLAN ID(CE-VLAN ID)被保留，来自不同客户的流量在服务提供商基础设施内被隔离，即使他们似乎在同一个VLAN上。思科关于该功能的文档解释道。

CERT协调中心昨天在给设备供应商时间调查、响应和发布安全更新后披露了这些缺陷。

这些漏洞会影响使用第二层(L2)安全控制来过滤虚拟网络隔离流量的网络设备，如交换机、路由器和操作系统。

思科和瞻博网络已经证实他们的一些产品受到这些缺陷的影响，但是许多设备供应商还没有结束他们的调查；因此，总体影响仍然未知。

问题细节和影响

以太网封装协议中存在允许堆叠虚拟局域网(VLAN)报头的漏洞。

未经验证的相邻攻击者可以结合使用VLAN和LLC/SNAP报头来绕过L2网络过滤保护，如IPv6 RA guard、动态ARP检查、IPv6邻居发现保护和DHCP侦听。这四个漏洞是: 

CVE-2021-27853使用VLAN 0报头和LLC/SNAP报头的组合可以绕过第2层网络过滤功能，例如IPv6 RA guard或ARP检查。

CVE-2021-27854使用以太网到Wifi帧转换中的VLAN 0报头、LLC/SNAP报头以及反向Wifi到以太网的组合，可以绕过第2层网络过滤功能，例如IPv6 RA guard。

CVE-2021-27861使用长度无效的LLC/SNAP报头(以及可选的VLAN0报头)可以绕过第2层网络过滤功能，例如IPv6 RA guard。

CVE-2021-27862使用长度无效的LLC/SNAP报头和以太网到Wifi帧转换(以及可选的VLAN0报头)，可以绕过IPv6 RA guard等第2层网络过滤功能。

通过独立利用这些缺陷，攻击者可以欺骗目标设备将流量路由到任意目的地。

“攻击者可以通过易受攻击的设备发送特制的数据包，以导致拒绝服务(DoS)或对目标网络进行中间人(MitM)攻击，”CERT协调中心警告说。

后者是更严重的情况，因为如果数据没有加密，攻击者可以观察网络流量并访问敏感信息。

需要注意的一点是，在现代基于云的虚拟化和虚拟网络产品中，L2的网络能力超出了局域网，因此这些缺陷的暴露可能会扩展到互联网。

缓解措施和补丁

瞻博网络确认CVE-2021-27853和CVE-2021-27854会影响其部分产品，并于2022年8月25日发布了安全更新。

该公司尚未发布关于这些问题的安全公告，因此建议所有客户对他们的设备进行安全更新。

思科发布了一份安全公告，确认其许多网络产品受到CVE-2021-27853和CVE-2021-27861的影响。

受影响的产品包括交换机、路由器和软件，但根据公告中的表格，大多数产品的修复程序将不可用。

此外，尚未针对缺陷及报废产品进行评估，因此它们也可能被视为易受攻击的产品，并应尽快更换。

建议所有网络管理员仔细检查并限制接入端口上使用的协议，启用所有可用的接口安全控制，检查并阻止路由器广告，并尽快应用供应商的安全更新。

原文始发于微信公众号（网络研究院）：以太网VLAN堆叠缺陷让黑客发起DoS、MiTM攻击