可以使用VLAN 0堆栈和/或 802.3 标头绕过 L2 网络安全控制

卡内基梅隆大学官网报道了“可以使用 VLAN 0 堆栈和/或 802.3 标头绕过 L2 网络安全控制”，思科、瞻博网络等厂家部分产品受影响。

概述

各种设备（例如交换机、路由器和操作系统）提供的第 2 层 (L2) 网络安全控制可以通过堆叠以太网协议标头来绕过。攻击者可以通过易受攻击的设备发送精心制作的数据包，以导致拒绝服务 (DoS) 或对目标网络执行中间人 (MitM) 攻击。

描述

此漏洞存在于允许堆叠虚拟局域网 (VLAN) 标头的以太网封装协议中。IEEE 802.1Q-1998和IEEE 802.3等网络标准 定义了一个标记以太网帧的系统，有助于隔离网络以提供虚拟网络功能。IEEE 标准802.1ad，也称为 QinQ，允许堆叠这些 VLAN 标签，将 VLAN 功能扩展到多个网段。这种广泛采用的以太网功能也称为“提供商桥接”和“堆叠 VLAN”。为了正确隔离和保护这些虚拟网络，许多网络设备和操作系统都提供了 L2 网络过滤功能。需要注意的是，在现代计算环境中，例如基于云的虚拟化和虚拟网络，L2 网络能力已扩展到局域网之外。这可能会导致这些漏洞以意想不到的方式暴露给更大的 Internet。

已识别的漏洞允许攻击者通过堆叠封装标头来绕过安全控制。这是通过堆叠一个或多个 VLAN 0（优先级标记）标头和802.2 LLC/SNAP 标头的组合来完成的。攻击者可以发送这些精心设计的网络数据包，并通过绕过检测和过滤功能来利用易受攻击的设备。绕过 L2 检查的一些示例包括但不限于动态 ARP 检查、IPv6 邻居发现(ND) 保护和IPv6 RA Guard。

CVE-2021-27853 使用 VLAN 0 标头和 LLC/SNAP 标头的组合可以绕过第 2 层网络过滤功能，例如 IPv6 RA 防护或 ARP 检查。

CVE-2021-27854 第 2 层网络过滤功能（例如 IPv6 RA 防护）可以使用 VLAN 0 标头、以太网到 Wifi 帧转换中的 LLC/SNAP 标头和反向 Wifi 到以太网的组合绕过。

CVE-2021-27861 第 2 层网络过滤功能（例如 IPv6 RA 防护）可以使用长度无效的 LLC/SNAP 标头（以及可选的 VLAN0 标头）绕过。

CVE-2021-27862 第 2 层网络过滤功能（例如 IPv6 RA 防护）可以使用具有无效长度的 LLC/SNAP 标头和以太网到 Wifi 帧转换（以及可选的 VLAN0 标头）绕过。

影响

攻击者可以绕过安全控制并欺骗本地连接的目标主机将流量路由到任意目的地。受害者设备遇到 DoS（黑洞流量）或 MitM（观察未加密流量并可能破坏加密）。

解决方案

应用更新

安装供应商提供的补丁和更新，以确保恶意内容被安全控制（例如 RA Guard）阻止或拒绝，从而阻止源自主机端口的路由器广告或其他与网络配置相关的广告。

检查和阻止路由器广告

利用路由器或托管交换机上的接口安全控制来执行 DHCP 侦听、IPv6 RA 防护、IP 源防护和 ARP/ND 检查。还建议仅在访问端口（ARP/ICMP/IPv4/IPv6）上允许需要的协议，某些应用程序可能有其他需求，因此请准备好根据需要修改允许列表。

原文始发于微信公众号（祺印说信安）：可以使用VLAN 0堆栈和/或 802.3 标头绕过 L2 网络安全控制