公開日:2022/10/06 最終更新日:2022/10/18

JVNTA#96784241
VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題

概要

細工されたイーサネットフレームにより、VLAN対応ネットワーク機器におけるデータリンク層(L2)の種々の保護機構がバイパスされる問題が報告されています。

影響を受けるシステム

  • IEEE 802.1adで定義された二重タギング(QinQ)方式によるVLANネットワーキングをサポートするネットワーク機器
  • IEEE802.3およびIEEE802.11の両者をサポートするネットワーク機器
  • イーサネットフレームのヘッダに未定義の値が含まれていても破棄しないネットワーク機器

なお、具体的なベンダや機器については、本記事の「ベンダ情報」やCERT/CC Vulnerability Note VU#855201の「Vendor Information」を参照してください。

詳細情報

イーサネット上のVLANネットワークは、主としてIEEE 802.1Q-1998およびIEEE 802.3で標準化されており、さらに、IEEE 802.1Qの拡張として、VLAN ヘッダを二重に指定するIEEE 802.1ad("QinQ")が規定されています。
QinQをサポートするネットワーク機器において、細工されたVLAN 0ヘッダ(VLAN-IDが0となるタグ。priority tagとも呼称される)を付けたイーサネットフレームにより、ブリッジファイアウォールをバイパスできる問題が報告されています

ワイヤレスLANとイーサネット間の通信では、IEEE802.3フレームとIEEE802.11フレームの変換が行われますが、細工されたVLAN 0ヘッダとLLC/SNAPヘッダを組み合わせたイーサネットフレームにより、Dynamic ARP inspectionやIPv6 Neighbor Discovery protection、IPv6 Router Advertisement Guard(RA Guard)といった、L2における種々の保護機構がバイパスされる問題が合わせて報告されています

イーサネットフレームでは、送信元MACアドレスの後ろの2バイトでペイロード長もしくはデータタイプを指定します。この値が1500(0x05dc)以下の場合はペイロード長を表し、1536(0x0600)以上の場合はペイロードのデータの種類を表すものと定義されています。1501(0x05dd)から1535(0x05FF)の範囲の値は未定義ですが、一部のネットワーク機器においては保護機構をバイパスされると報告されています

報告されている問題は下記のとおりです。

  • CVE-2021-27853: VLAN 0ヘッダとLLC/SNAPヘッダの組み合わせにより、IPv6 RA GuardやARP inspectionなどの保護機構がバイパスされる問題
  • CVE-2021-27854: VLAN 0ヘッダとLLC/SNAPヘッダの組み合わせにより、イーサネットとワイヤレスLANの間のフレーム変換処理を通じてIPv6 RA Guardなどの保護機構がバイパスされる問題
  • CVE-2021-27861: LLC/SNAPヘッダを持ち、長さ情報が不正な値になっているフレームにより、IPv6 RA Guardなどの保護機構がバイパスされる問題
  • CVE-2021-27862: LLC/SNAPヘッダを持ち、長さ情報が不正な値になっているフレームにより、イーサネットからワイヤレスLANへのフレーム変換処理を通じてIPv6 RA Guardなどの保護機構がバイパスされる問題

想定される影響

ネットワーク機器の保護機構がバイパスされることにより、サービス運用妨害(DoS)攻撃が行われたり、中間者攻撃(Man-in-the-Middle)による通信内容の窃取が行われたりする可能性があります。

対策方法

アップデートする
通信機器ベンダが提供する情報を注視し、パッチやアップデートを適用してください。

通信内容を検査・ブロックする
ルータやスイッチの機能として提供されているDHCP snooping、IPv6 RA Guard、IP Source Guard、ARP/ND inspectionといった複数のチェック機能を有効にすることで、本問題の影響を低減させることが可能です。
また、アクセスポートにおいては、ARP、ICMP、IPv4、IPv6といった、必要とされるプロトコルのみを許可するように設定することを推奨します(使用しているアプリケーションの動作に応じて設定内容を確認してください)。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
NTT-CERT 該当製品無し 2022/10/17
アライドテレシス株式会社 該当製品無し 2022/10/06
ビー・ユー・ジーDMG森精機株式会社 該当製品無し 2022/10/06
住友電気工業株式会社 該当製品無し 2022/10/06
古河電気工業株式会社 該当製品無し 2022/10/06
富士通株式会社 該当製品無し(調査中) 2022/10/06
日本電気株式会社 該当製品無し(調査中) 2022/10/06
株式会社インターネットイニシアティブ 該当製品あり 2022/10/07 株式会社インターネットイニシアティブ の告知ページ
株式会社デンソーウェーブ 該当製品無し 2022/10/11
楽天モバイル株式会社 該当製品無し 2022/10/06
横河計測株式会社 該当製品無し 2022/10/06
沖電気工業株式会社 該当製品無し 2022/10/06

参考情報

  1. Vulnerability Note VU#855201
    L2 network security controls can be bypassed using VLAN 0 stacking and/or 802.3 headers
  2. blog.champtar.fr
    Bridge firewalling “bypass” using VLAN 0
  3. blog.champtar.fr
    Layer 2 network security bypass using VLAN 0, LLC/SNAP headers and invalid length

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/10/11
株式会社インターネットイニシアティブのベンダステータスが更新されました
2022/10/11
株式会社デンソーウェーブのベンダステータスが更新されました
2022/10/18
NTT-CERTのベンダステータスが更新されました