I difetti di stacking della VLAN Ethernet consentono agli hacker di lanciare attacchi DoS e MiTM

Vai ai contenuti

I difetti di stacking della VLAN Ethernet consentono agli hacker di lanciare attacchi DoS e MiTM

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 29 Settembre 2022
Tags: #sicurezza#bug#cisco#juniper
I difetti di stacking della VLAN Ethernet consentono agli hacker di lanciare attacchi DoS e MiTM

Quattro vulnerabilità nella funzionalità Ethernet "VLAN in pila" ampiamente adottata consentono agli aggressori di eseguire attacchi denial-of-service (DoS) o man-in-the-middle (MitM) contro obiettivi di rete utilizzando pacchetti personalizzati.

Le VLAN impilate, note anche come VLAN Stacking, sono una funzionalità dei moderni router e switch che consente alle aziende di incapsulare più ID VLAN in un'unica connessione VLAN condivisa con un provider a monte.

"Con le VLAN in pila, i fornitori di servizi possono utilizzare una VLAN univoca (denominata ID VLAN del fornitore di servizi o ID SP-VLAN) per supportare i clienti che dispongono di più VLAN. Gli ID VLAN dei clienti (ID CE-VLAN) vengono preservati e il traffico proveniente da diversi i clienti sono segregati all'interno dell'infrastruttura del fornitore di servizi anche quando sembrano essere sulla stessa VLAN", spiega la documentazione di Cisco sulla funzione.

Il Centro di coordinamento CERT ha rivelato i difetti ieri dopo aver concesso ai fornitori di dispositivi il tempo di indagare, rispondere e rilasciare aggiornamenti di sicurezza.

Le vulnerabilità interessano i dispositivi di rete come switch, router e sistemi operativi che utilizzano controlli di sicurezza Layer-2 (L2) per filtrare il traffico per l'isolamento della rete virtuale.

Cisco e Juniper Networks hanno confermato che alcuni dei loro prodotti sono interessati dai difetti, ma numerosi fornitori di dispositivi non hanno concluso la loro indagine; quindi l'impatto complessivo rimane sconosciuto.

Dettagli e implicazioni del problema
Le vulnerabilità esistono nei protocolli di incapsulamento Ethernet che consentono lo stacking delle intestazioni di Virtual Local Area Network (VLAN).

Un utente malintenzionato adiacente non autenticato può utilizzare una combinazione di intestazioni VLAN e LLC/SNAP per aggirare le protezioni del filtro di rete L2 come IPv6 RA guard, ispezione dinamica ARP, protezione IPv6 neighbor discovery e snooping DHCP.

Le quattro vulnerabilità sono:
CVE-2021-27853 Le funzionalità di filtraggio della rete di livello 2 come la protezione RA IPv6 o l'ispezione ARP possono essere ignorate utilizzando combinazioni di intestazioni VLAN 0 e intestazioni LLC/SNAP.
   CVE-2021-27854 Le capacità di filtraggio della rete di livello 2 come la protezione RA IPv6 possono essere aggirate utilizzando combinazioni di intestazioni VLAN 0, intestazioni LLC/SNAP nella traduzione del frame da Ethernet a Wifi e da Wifi inverso a Ethernet.
   CVE-2021-27861 Le funzionalità di filtraggio della rete di livello 2 come IPv6 RA guard possono essere ignorate utilizzando intestazioni LLC/SNAP con lunghezza non valida (e facoltativamente intestazioni VLAN0).
   CVE-2021-27862 Le funzionalità di filtraggio della rete di livello 2 come la protezione RA IPv6 possono essere ignorate utilizzando intestazioni LLC/SNAP con lunghezza non valida e conversione di frame da Ethernet a Wifi (e facoltativamente intestazioni VLAN0).

Sfruttando uno qualsiasi di questi difetti in modo indipendente, un utente malintenzionato può ingannare il dispositivo di destinazione per instradare il traffico verso destinazioni arbitrarie.

"Un utente malintenzionato può inviare pacchetti predisposti attraverso dispositivi vulnerabili per causare Denial of Service (DoS) o per eseguire un attacco man-in-the-middle (MitM) contro una rete bersaglio", avverte il Centro di coordinamento CERT.

Quest'ultimo è lo scenario più grave, in quanto l'attaccante potrebbe osservare il traffico di rete e accedere a informazioni riservate se i dati non sono crittografati.

Una cosa da notare è che nei moderni prodotti di virtualizzazione e networking virtuale basati su cloud, la capacità di rete L2 si estende oltre la LAN, quindi l'esposizione di questi difetti potrebbe essere estesa a Internet.
Mitigazioni e patch

Juniper Networks ha confermato che CVE-2021-27853 e CVE-2021-27854 hanno un impatto su alcuni dei suoi prodotti e ha rilasciato aggiornamenti di sicurezza il 25 agosto 2022.

L'azienda non ha rilasciato un bollettino sulla sicurezza sui problemi, quindi si consiglia a tutti i clienti di applicare gli aggiornamenti di sicurezza ai propri dispositivi.

Cisco ha rilasciato ieri un bollettino sulla sicurezza in cui conferma che molti dei suoi prodotti di rete sono interessati da CVE-2021-27853 e CVE-2021-27861.

I prodotti interessati includono switch, router e software, ma le correzioni per la maggior parte di essi non saranno rese disponibili secondo le tabelle dell'avviso.

Inoltre, i prodotti fuori uso non sono stati valutati rispetto ai difetti, quindi possono anche essere considerati vulnerabili e sostituiti il ​​prima possibile.

Si consiglia a tutti gli amministratori di rete di esaminare e limitare il protocollo utilizzato sulle porte di accesso, abilitare tutti i controlli di sicurezza dell'interfaccia disponibili, ispezionare e bloccare gli annunci del router e applicare gli aggiornamenti di sicurezza del fornitore non appena diventano disponibili.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti