Yaygın olarak benimsenen ‘Yığın VLAN’ Ethernet özelliğindeki dört güvenlik açığı, saldırganların özel hazırlanmış paketler kullanarak ağ hedeflerine karşı hizmet reddi (DoS) veya ortadaki adam (MitM) saldırıları gerçekleştirmesine olanak tanır.
VLAN Yığınlama olarak da bilinen Yığılmış VLAN’lar, modern yönlendiricilerde ve anahtarlarda bulunan ve şirketlerin birden fazla VLAN kimliğini yukarı akış sağlayıcısıyla paylaşılan tek bir VLAN bağlantısına yerleştirmesine olanak tanıyan bir özelliktir.
“Yığınlanmış VLAN’lar ile hizmet sağlayıcılar, birden fazla VLAN’a sahip müşterileri desteklemek için benzersiz bir VLAN (hizmet sağlayıcı VLAN Kimliği veya SP-VLAN Kimliği olarak adlandırılır) kullanabilir. Müşteri VLAN Kimlikleri (CE-VLAN Kimlikleri) korunur ve farklı kaynaklardan gelen trafik müşteriler, aynı VLAN’da görünseler bile hizmet sağlayıcı altyapısı içinde ayrılıyor” diye açıklıyor. Cisco’nun belgeleri özelliği üzerinde.
bu CERT Koordinasyon Merkezi dün cihaz satıcılarına araştırma, yanıt verme ve güvenlik güncellemelerini yayınlamaları için zaman verdikten sonra kusurları açıkladı.
Güvenlik açıkları, sanal ağ yalıtımı için trafiği filtrelemek üzere Katman-2 (L2) güvenlik denetimlerini kullanan anahtarlar, yönlendiriciler ve işletim sistemleri gibi ağ aygıtlarını etkiler.
Cisco ve Juniper Networks, ürünlerinin bazılarının kusurlardan etkilendiğini onayladı, ancak çok sayıda cihaz satıcısı araştırmalarını tamamlamadı; dolayısıyla genel etki bilinmemektedir.
Sorun ayrıntıları ve sonuçları
Güvenlik açıkları, Sanal Yerel Alan Ağı (VLAN) başlıklarının yığınlanmasına izin veren Ethernet kapsülleme protokollerinde bulunur.
Kimliği doğrulanmamış, bitişik bir saldırgan, IPv6 RA koruması, dinamik ARP denetimi, IPv6 komşu keşif koruması ve DHCP gözetleme gibi L2 ağ filtreleme korumalarını atlamak için VLAN ve LLC/SNAP başlıklarının bir kombinasyonunu kullanabilir.
Dört güvenlik açığı şunlardır:
- CVE-2021-27853 IPv6 RA koruması veya ARP denetimi gibi Katman 2 ağ filtreleme yetenekleri, VLAN 0 başlıkları ve LLC/SNAP başlıkları kombinasyonları kullanılarak atlanabilir.
- CVE-2021-27854 IPv6 RA koruması gibi Katman 2 ağ filtreleme yetenekleri, VLAN 0 üstbilgileri, Ethernet’teki LLC/SNAP üstbilgileri ve Wifi’den Ethernet’e ters çevirme kombinasyonları kullanılarak atlanabilir.
- CVE-2021-27861 IPv6 RA koruması gibi Katman 2 ağ filtreleme yetenekleri, geçersiz uzunluktaki LLC/SNAP başlıkları (ve isteğe bağlı olarak VLAN0 başlıkları) kullanılarak atlanabilir.
- CVE-2021-27862 IPv6 RA koruması gibi Katman 2 ağ filtreleme yetenekleri, geçersiz uzunluktaki LLC/SNAP başlıkları ve Ethernet’ten Wifi’ye çerçeve dönüştürme (ve isteğe bağlı olarak VLAN0 başlıkları) kullanılarak atlanabilir.
Saldırgan, bu kusurlardan herhangi birini bağımsız olarak kullanarak, trafiği rastgele hedeflere yönlendirmek için hedef cihazı aldatabilir.
CERT Koordinasyon Merkezi, “Bir saldırgan, hizmet reddine (DoS) neden olmak veya bir hedef ağa karşı ortadaki adam (MitM) saldırısı gerçekleştirmek için savunmasız cihazlar aracılığıyla hazırlanmış paketler gönderebilir” diye uyarıyor.
Saldırgan, veriler şifrelenmemişse ağ trafiğini gözlemleyebileceği ve hassas bilgilere erişebileceği için daha şiddetli senaryodur.
Unutulmaması gereken bir nokta, modern bulut tabanlı sanallaştırma ve sanal ağ ürünlerinde L2 ağ kapasitesinin LAN’ın ötesine geçmesidir, bu nedenle bu kusurların ortaya çıkması internete kadar genişletilebilir.
Azaltmalar ve yamalar
Juniper Networks, CVE-2021-27853 ve CVE-2021-27854’ün bazı ürünlerini etkilediğini doğruladı ve 25 Ağustos 2022’de güvenlik güncellemelerini yayınladı.
Şirket, sorunlarla ilgili bir güvenlik bülteni yayınlamadı, bu nedenle tüm müşterilerin cihazlarına güvenlik güncellemeleri uygulamaları önerilir.
Cisco yayınladı güvenlik bülteni dün ağ ürünlerinin birçoğunun CVE-2021-27853 ve CVE-2021-27861’den etkilendiğini doğruladı.
bu etkilenen ürünler anahtarları, yönlendiricileri ve yazılımı içerir, ancak çoğuna yönelik düzeltmeler, danışma belgesindeki tablolara göre sunulmayacaktır.
Ayrıca, ömrünü tamamlamış ürünler kusurlara karşı değerlendirilmemiştir, bu nedenle savunmasız olarak kabul edilebilirler ve mümkün olan en kısa sürede değiştirilebilirler.
Tüm ağ yöneticilerine, erişim bağlantı noktalarında kullanılan protokolü incelemeleri ve sınırlamaları, mevcut tüm arayüz güvenlik kontrollerini etkinleştirmeleri, yönlendirici reklamlarını incelemeleri ve engellemeleri ve kullanılabilir oldukları anda satıcı güvenlik güncellemelerini uygulamaları önerilir.