JVNTA#96784241
VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題

細工されたイーサネットフレームにより、VLAN対応ネットワーク機器におけるデータリンク層（L2）の種々の保護機構がバイパスされる問題が報告されています。

• IEEE 802.1adで定義された二重タギング（QinQ）方式によるVLANネットワーキングをサポートするネットワーク機器
• IEEE802.3およびIEEE802.11の両者をサポートするネットワーク機器
• イーサネットフレームのヘッダに未定義の値が含まれていても破棄しないネットワーク機器

イーサネット上のVLANネットワークは、主としてIEEE 802.1Q-1998およびIEEE 802.3で標準化されており、さらに、IEEE 802.1Qの拡張として、VLAN ヘッダを二重に指定するIEEE 802.1ad（"QinQ"）が規定されています。
QinQをサポートするネットワーク機器において、細工されたVLAN 0ヘッダ（VLAN-IDが0となるタグ。priority tagとも呼称される）を付けたイーサネットフレームにより、ブリッジファイアウォールをバイパスできる問題が報告されています。

ワイヤレスLANとイーサネット間の通信では、IEEE802.3フレームとIEEE802.11フレームの変換が行われますが、細工されたVLAN 0ヘッダとLLC/SNAPヘッダを組み合わせたイーサネットフレームにより、Dynamic ARP inspectionやIPv6 Neighbor Discovery protection、IPv6 Router Advertisement Guard（RA Guard）といった、L2における種々の保護機構がバイパスされる問題が合わせて報告されています。

イーサネットフレームでは、送信元MACアドレスの後ろの2バイトでペイロード長もしくはデータタイプを指定します。この値が1500（0x05dc）以下の場合はペイロード長を表し、1536（0x0600）以上の場合はペイロードのデータの種類を表すものと定義されています。1501（0x05dd）から1535（0x05FF）の範囲の値は未定義ですが、一部のネットワーク機器においては保護機構をバイパスされると報告されています。

報告されている問題は下記のとおりです。

• CVE-2021-27853: VLAN 0ヘッダとLLC/SNAPヘッダの組み合わせにより、IPv6 RA GuardやARP inspectionなどの保護機構がバイパスされる問題
• CVE-2021-27854: VLAN 0ヘッダとLLC/SNAPヘッダの組み合わせにより、イーサネットとワイヤレスLANの間のフレーム変換処理を通じてIPv6 RA Guardなどの保護機構がバイパスされる問題
• CVE-2021-27861: LLC/SNAPヘッダを持ち、長さ情報が不正な値になっているフレームにより、IPv6 RA Guardなどの保護機構がバイパスされる問題
• CVE-2021-27862: LLC/SNAPヘッダを持ち、長さ情報が不正な値になっているフレームにより、イーサネットからワイヤレスLANへのフレーム変換処理を通じてIPv6 RA Guardなどの保護機構がバイパスされる問題

ネットワーク機器の保護機構がバイパスされることにより、サービス運用妨害（DoS）攻撃が行われたり、中間者攻撃（Man-in-the-Middle）による通信内容の窃取が行われたりする可能性があります。

アップデートする
通信機器ベンダが提供する情報を注視し、パッチやアップデートを適用してください。

通信内容を検査・ブロックする
ルータやスイッチの機能として提供されているDHCP snooping、IPv6 RA Guard、IP Source Guard、ARP/ND inspectionといった複数のチェック機能を有効にすることで、本問題の影響を低減させることが可能です。
また、アクセスポートにおいては、ARP、ICMP、IPv4、IPv6といった、必要とされるプロトコルのみを許可するように設定することを推奨します（使用しているアプリケーションの動作に応じて設定内容を確認してください）。