シスコ製品に影響するレイヤ2ネットワークセキュリティコントロールの脆弱性:2022年9月

ダウンロード オプション

  • PDF     (444.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (86.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (86.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 10 月 5 日
Document ID:SA218265

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Medium

Medium

アドバイザリーID : cisco-sa-VU855201-J3z8CKTX
初公開日 : 2022-09-27 16:00
最終更新日 : 2022-10-05 18:16
バージョン 1.1 : Final
CVSSスコア : 4.7
回避策 : Yes
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

2022年9月27日にCert/CC社によってVU855201の一部として公開された、シスコ製品に影響を与える次の脆弱性は、「L2ネットワークセキュリティ制御はVLAN 0スタッキングおよび/または802.3ヘッダーを使用してバイパスできる」というタイトルです。

  • CVE-2021-27853:VLAN 0ヘッダーとLLC/SNAPヘッダーを組み合わせて使用することで、IPv6 RAガードやARPインスペクションなどのレイヤ2ネットワークフィルタリング機能をバイパスできます。
  • CVE-2021-27854:VLAN 0ヘッダー、イーサネットからWiFiへのフレーム変換でのLLC/SNAPヘッダー、およびその逆のWiFiからイーサネットへの変換を組み合わせて使用することで、IPv6 RAガードなどのレイヤ2ネットワークフィルタリング機能をバイパスできます。
  • CVE-2021-27861:無効な長さのLLC/SNAPヘッダー(およびオプションでVLAN0ヘッダー)を使用して、IPv6 RAガードなどのレイヤ2ネットワークフィルタリング機能をバイパスできます。
  • CVE-2021-27862:IPv6 RAガードなどのレイヤ2ネットワークフィルタリング機能は、無効な長さのLLC/SNAPヘッダーおよびイーサネットからWiFiへのフレーム変換(およびオプションでVLAN0ヘッダー)を使用してバイパスできます。

これらの脆弱性が不正利用されると、隣接する攻撃者が該当シスコ製品に設定されているファーストホップセキュリティ(FHS)機能をバイパスできる可能性があります。

これらの脆弱性の詳細については本アドバイザリの「詳細情報」セクションを参照してください。

このアドバイザリは次のリンクで確認できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-VU855201-J3z8CKTX

該当製品

脆弱性が存在する製品」の項には、影響を受ける製品の Cisco Bug ID を示します。バグはCisco Bug Search Toolで検索でき、回避策(利用可能な場合)や修正済みソフトウェアリリース(利用可能な場合)など、プラットフォーム固有の追加情報が含まれます。

本アドバイザリの「脆弱性のある製品」セクションに記載されていない製品またはサービスは、脆弱性が存在しないと判断されています。

脆弱性のある製品

CVE-2021-27853

次の表に、CVE-2021-27853で説明されている脆弱性の影響を受けるシスコ製品を示します。影響を受ける設定の詳細については、このアドバイザリの「詳細」セクションを参照してください。

注:サポート終了製品は評価されていません。

シスコ製品 Cisco Bug ID 追加情報
Cisco IOSソフトウェア – スイッチ
Catalyst 6500 および 6800 シリーズ スイッチ 0.CSCwa06145 修正済みソフトウェアは提供されません。
Catalyst デジタル ビルディング シリーズ スイッチ 0.CSCwa14942 修正済みソフトウェアは提供されません。
産業用イーサネット スイッチ 0.CSCvw99743 修正済みソフトウェアは提供されません。
マイクロスイッチ 0.CSCwa14271 修正済みソフトウェアは提供されません。
Cisco IOS XEソフトウェア – スイッチ 
Catalyst 4500 IOS-XEスイッチ 0.CSCwa18093 修正済みソフトウェアは提供されません。
IOS XEスイッチ 0.CSCvz91291
0.CSCwb01481		 CSCvz91291の影響を受けるのは、Cisco IOS XEソフトウェアリリース17.6.1以降です。ダイナミックARPインスペクションを除くすべてのFHS機能で修正が利用可能です。

CSCwb01481はダイナミックARPインスペクションに関連し、すべてのリリースに影響します。修正済みソフトウェアは提供されません。
Cisco IOS XEソフトウェア:ルータ
イーサネット仮想回線で設定されたIOS XEルータ 0.CSCvz96133 修正済みソフトウェアは提供されません。
Cisco IOS XR ソフトウェア
L2トランスポートサービスが設定されたIOS XRルータ 0.CSCvz88705
0.CSCvz89602		 修正済みソフトウェアは提供されません。
Cisco Meraki – スイッチ
MS390 N/A 影響があるのは、ダイナミックARPインスペクションだけです。修正済みソフトウェアは提供されません。
MS210
MS225
MS250
MS350
MS355
MS410
MS420
MS425
MS450		 N/A 修正済みソフトウェアは提供されません。
Cisco NX-OS ソフトウェア
Nexus 3000 シリーズ スイッチ 0.CSCvx33758 修正済みソフトウェアは提供されません。
Nexus 5500 プラットフォーム スイッチ
Nexus 5600 プラットフォーム スイッチ
Nexus 6000 シリーズ スイッチ		 0.CSCvx35087 修正済みソフトウェアは提供されません。
Nexus 7000 シリーズ スイッチ 0.CSCvx35085 修正済みソフトウェアは提供されません。
Nexus 9000シリーズスイッチ(スタンドアロンモード) 0.CSCvx33758 修正済みソフトウェアは提供されません。
Cisco Small Businessスイッチ
250 シリーズ スマート スイッチ
350 シリーズ マネージド スイッチ
350X シリーズ スタッカブル マネージド スイッチ
550X シリーズ スタッカブル マネージド スイッチ
Business 250 シリーズ スマートスイッチ
Business 350 シリーズ マネージドスイッチ		 0.CSCvw92154 修正済みソフトウェアは提供されません。

CVE-2021-27854

シスコのアクセスポイント

シスコは、シスコアクセスポイントに設定されたFHS機能に対する影響に基づいて、この脆弱性を評価しました。影響は確認されませんでした。

シスコアクセスポイントへの影響に関する調査の一環として、別の脆弱性が発見され、関連するアドバイザリ「ネイティブVLAN脆弱性からのシスコアクセスポイントVLANバイパス」が公開されています。  

CVE-2021-27861

次の表に、CVE-2021-27861で説明されている脆弱性の影響を受けるシスコ製品を示します。影響を受ける設定の詳細については、このアドバイザリの「詳細」セクションを参照してください。  

:サポート終了製品は評価されていません。

シスコ製品 Cisco Bug ID 追加情報
Cisco IOSソフトウェア – スイッチ
Catalyst 6500 および 6800 シリーズ スイッチ 0.CSCwa06265 修正済みソフトウェアは提供されません。
Catalyst デジタル ビルディング シリーズ スイッチ 0.CSCwa14950 修正済みソフトウェアは提供されません。
マイクロスイッチ 0.CSCwa14282 修正済みソフトウェアは提供されません。
Cisco IOS XR ソフトウェア
L2トランスポートサービスが設定されたIOS XRルータ 0.CSCwa04809 修正済みソフトウェアは提供されません。
Cisco Meraki – スイッチ
MS210
MS225
MS250
MS350
MS355
MS410
MS420
MS425
MS450		 N/A 修正済みソフトウェアは提供されません。
Cisco NX-OS ソフトウェア
Nexus 3000 シリーズ スイッチ 0.CSCwa01097 修正済みソフトウェアは提供されません。
Nexus 5500 プラットフォーム スイッチ
Nexus 5600 プラットフォーム スイッチ
Nexus 6000 シリーズ スイッチ		 0.CSCwa18209 修正済みソフトウェアは提供されません。
Nexus 7000 シリーズ スイッチ 0.CSCwa18310 修正済みソフトウェアは提供されません。
Nexus 9000シリーズスイッチ(スタンドアロンモード) 0.CSCwa01097 修正済みソフトウェアは提供されません。
Cisco Small Businessスイッチ
250 シリーズ スマート スイッチ
350 シリーズ マネージド スイッチ
350X シリーズ スタッカブル マネージド スイッチ
550X シリーズ スタッカブル マネージド スイッチ
Business 250 シリーズ スマートスイッチ
Business 350 シリーズ マネージドスイッチ		 0.CSCwa09081 修正済みソフトウェアは提供されません。

CVE-2021-27862

シスコは、シスコアクセスポイントに設定されたFHS機能に対する影響に基づいて、この脆弱性を評価しました。影響は確認されませんでした。

脆弱性を含んでいないことが確認された製品

このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。

CVE-2021-27853

シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。

ONTスイッチ

  • Catalyst PONシリーズスイッチ

IOSスイッチ

  • Catalyst 1000 シリーズ スイッチ

IOS XEプラットフォーム

  • Catalyst 8000 シリーズ エッジ プラットフォーム

NX-OS ソフトウェア

  • MDS 9000 シリーズ マルチレイヤ スイッチ
  • Nexus 1000V シリーズ スイッチ
  • Nexus 9000 シリーズ ファブリック スイッチ(アプリケーション セントリック インフラストラクチャ(ACI)モード)
  • UCS 6x00シリーズファブリックインターコネクト

Merakiスイッチ

  • GS110スイッチ
  • MS22スイッチ
  • MS42スイッチ
  • MS120スイッチ
  • MS125スイッチ
  • MS220スイッチ
  • MS320スイッチ

CVE-2021-27854

シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。

  • アクセス ポイント
  • AireOSアクセスポイント
  • Merakiアクセスポイント

CVE-2021-27861

シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。

ONTスイッチ

  • Catalyst PONシリーズスイッチ

IOSスイッチ

  • Catalyst 1000 シリーズ スイッチ
  • 産業用イーサネット スイッチ

IOS XEルータ

  • イーサネット仮想回線で設定されたIOS XEルータ

IOS XEソフトウェアスイッチ

  • Catalyst 3650 シリーズ スイッチ
  • Catalyst 3850 シリーズ スイッチ
  • Catalyst 4500Eおよび4500Xシリーズスイッチ
  • Catalyst 9000 シリーズ スイッチ

Merakiスイッチ

  • GS110スイッチ
  • MS22スイッチ
  • MS42スイッチ
  • MS120スイッチ
  • MS125スイッチ
  • MS220スイッチ
  • MS320スイッチ
  • MS390スイッチ

NX-OS ソフトウェア

  • MDS 9000 シリーズ マルチレイヤ スイッチ
  • Nexus 1000V シリーズ スイッチ
  • Nexus 9000 シリーズ ファブリック スイッチ(アプリケーション セントリック インフラストラクチャ(ACI)モード)
  • UCS 6x00シリーズファブリックインターコネクト

CVE-2021-27862

シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。

  • アクセス ポイント
  • AireOSアクセスポイント
  • Merakiアクセスポイント

詳細

これらの脆弱性は依存関係にはなく、いずれかの脆弱性をエクスプロイトするために別の脆弱性をエクスプロイトする必要はありません。さらに、いずれかの脆弱性の影響を受けるソフトウェアリリースであっても、他の脆弱性の影響は受けない場合があります。

CVE-2021-27853

複数のシスコ製品のスタックされたイーサネットタグヘッダーの処理に脆弱性が存在するため、認証されていない隣接する攻撃者が該当デバイスのFHS機能をバイパスする可能性があります。

この脆弱性は、上位層プロトコルがレイヤ3 FHS機能を呼び出すように決定できないときに、フレームを転送するプラットフォームに起因します。攻撃者は、スタックされたVLANイーサネットヘッダーを含むパケットを送信することで、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、攻撃者は該当デバイスのFHS機能をバイパスできる可能性があります。

シスコでは、本脆弱性に対処するソフトウェア アップデートをリリースしていません。本脆弱性に対処する回避策がいくつかあります。

CVE ID:CVE-2021-27853
セキュリティ影響評価(SIR):中 
CVSS ベーススコア:4.7
CVSSベクトル:CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

CVE-2021-27853:追加詳細

IEEE Std 802.1Q-2018標準には、プライオリティ情報を含むタグ付きフレームが組み込まれています。このフレームのタグヘッダーにはプライオリティ情報が含まれますが、VLAN識別情報は含まれません。VLAN IDは0に設定され、通常は送信元MACアドレスとEthertype/sizeフィールドの間の単一の802.1Qヘッダーで伝送されます。

VLANタギングが使用されるネットワークでは、通常、送信元MACアドレスとEthertype/sizeフィールドの間に単一の802.1Qヘッダーがあります。IEEE 802.1ADには二重タギングがあり、送信元MACアドレスとEthertype/sizeフィールドの間にS-TAGヘッダーとC-TAGヘッダーがあります。

IEEE Std 802.1Q-2018ではタグの数が2つまでと規定されていませんが、シスコ製品では、上位層プロトコルを確立するために検査できるタグの数(Ethertypeフィールドによって決定)、パケットがIPv4とIPv6のどちらとして分類されるか、および追加のレイヤ3機能処理の対象となるかについて制限があります。これらを判別できない場合は、デバイスの設定に応じて、レイヤ2情報に基づいてパケットが転送されます。

フレームを受信する次のデバイスの実装に応じて、フレームが無効として廃棄されるか、プライオリティタグが削除されて処理されます。これらのアクションは、受信側ホストのオペレーティングシステムの実装によって異なります。

CVE-2021-27853:シスコネットワークオペレーティングシステム

このセクションでは、VLAN IDが0のタグが付いたイーサネットフレームを、影響を受けるさまざまなシスコネットワークオペレーティングシステムでどのように処理するかについて具体的に説明します。

Cisco IOSソフトウェア – スイッチ

デフォルトでは、該当するすべてのCisco IOSスイッチは、VLAN ID 0タグが含まれるフレームヘッダーを持つ着信パケットを処理します。シスコ製品では、上位層プロトコルを確立するために検査できるタグの数に制限があります。

:サポートが終了したCisco IOSスイッチについては、Cisco Product Security Incident Response Team(PSIRT)の評価を受けていません。

Cisco IOS XEソフトウェア – スイッチ

デフォルトでは、Cisco Catalyst 4500Eシリーズスイッチは、VLAN ID 0タグを含むフレームヘッダーを持つ着信パケットを処理します。シスコ製品では、上位層プロトコルを確立するために検査できるタグの数に制限があります。

Cisco IOS XEスイッチのデフォルトの動作は、VLAN ID 0タグを含むフレームヘッダーを持つすべてのトラフィックをドロップすることです。アクセスポートが次のように設定されている場合、スイッチはVLAN ID 0のタグが付いたフレームだけを処理します。

switchport voice vlan dot1p

Cisco IOS XEソフトウェア:ルータ

サービスインスタンスで設定されたCisco IOS XEデバイスは、設定に従ってVLAN ID 0タグを処理します。VLANベースのサービスの場合、上位1つまたは2つのタグは設定に基づいて検査され、最長一致ルールの適切なサービスインスタンスにマッピングされます。

encapsulation dot1q priority-taggedencapsulation dot1q priority-tagged exact、またはencapsulation defaultを含むサービスインスタンスベースの設定は、この脆弱性の影響を受けます。

VLAN ID 0のサービスインスタンスの照合順序は、最初にencapsulation dot1q priority-tagged、次にencapsulation defaultに基づきます。Cisco IOS XEソフトウェアがVLAN ID 0タグのencapsulation dot1q anyと一致しません。

Cisco IOS XR ソフトウェア

レイヤ2トランスポートインターフェイスで実行されているCisco IOS XRソフトウェアは、デバイスに適用されている設定に従ってVLAN ID 0タグを処理します。ポートベースのサービスの場合、パケットはインスペクションなしで転送されます。VLANベースのサービスの場合、最上位タグまたは上位2つのタグのいずれかが設定に基づいて検査され、最長一致ルールに基づいて適切な接続回線にマッピングされます。詳細については、「IOS XR L2VPNのサービスと機能」を参照してください。

レイヤ2トランスポートVLANベースの設定にencapsulation dot1q priority-taggedencapsulation dot1q priority-tagged exact、またはencapsulation defaultが含まれる設定は、この脆弱性の影響を受けます。

Cisco NX-OS ソフトウェア

デフォルトでは、Cisco NX-OSソフトウェアはVLAN ID 0タグを含むフレームヘッダーを使用して着信パケットを処理します。最初のVLAN ID 0タグは削除され、残りのパケット内容に従って処理されます。シスコ製品では、上位層プロトコルを確立するために検査できるタグの数に制限があります。

Cisco Small Businessスイッチ

デフォルトでは、Cisco Small Businessスイッチは、VLAN ID 0タグを含むフレームヘッダーを持つ着信パケットを処理します。シスコ製品では、上位層プロトコルを確立するために検査できるタグの数に制限があります。

CVE-2021-27854

CVE-2021-27854では、SNAPヘッダーにVLANタグを挿入することで、802.11と802.3の間でフレームが変換される方法が調べられています。

シスコでは、これらのフレーム変換を処理する際に、ワイヤレスアクセスポイントのセキュリティ機能に影響を与える可能性があるとして、この脆弱性を評価しました。シスコでは、設定済みのFHS機能がバイパスされないことを確認しました。

CVE ID:CVE-2021-27854
セキュリティ影響評価(SIR):中 
CVSS ベーススコア:4.7
CVSSベクトル:CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

CVE-2021-27861

複数のシスコ製品のイーサネット処理における脆弱性により、認証されていない隣接する攻撃者が該当デバイスのFHS機能をバイパスする可能性があります。

この脆弱性は、SNAP/LLCイーサネットフレームの不十分な検証に起因します。攻撃者は、巧妙に細工された(製品によっては細工されていない)SNAP/LLCイーサネットヘッダーを含むパケットを送信することで、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、攻撃者は該当デバイスのFHS機能をバイパスできる可能性があります。

シスコでは、本脆弱性に対処するソフトウェア アップデートをリリースしていません。一部の製品では、この脆弱性に対処する回避策があります。

CVE ID:CVE-2021-27861
セキュリティ影響評価(SIR):中 
CVSS ベーススコア:4.7
CVSSベクトル:CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

CVE-2021-27861:シスコネットワークオペレーティングシステム

このセクションでは、影響を受けるさまざまなCiscoネットワークオペレーティングシステムがSNAP/LLCイーサネットフレームを処理する方法について具体的に説明します。

Cisco IOSソフトウェア – スイッチ

該当するCisco IOSソフトウェア製品は、追加のFHS機能検査なしでSNAP/LLCフレームを転送します。

Cisco IOS XR ソフトウェア

該当するCisco IOS XRソフトウェア製品では、追加のFHS機能インスペクションを行わずにSNAP/LLCフレームが転送されます。

Cisco NX-OS ソフトウェア

該当するCisco NX-OSソフトウェア製品では、追加のFHS機能インスペクションを行わずにSNAP/LLCフレームが転送されます。

Cisco Small Businessスイッチ

該当するCisco Small Businessスイッチでは、最大1,500の長さフィールドを持つSNAP/LLCフレームに対してFHS機能が正しく適用されています。ただし、1,501 ~ 1,535の長さのSNAP/LLCフレームは、追加のFHS機能インスペクションなしで転送されます。

CVE-2021-27862

CVE-2021-27862では、802.3から802.11へのフレームの変換方法と長さフィールドが検査されます。

シスコでは、これらのフレーム変換を処理する際に、ワイヤレスアクセスポイントのセキュリティ機能に影響を与える可能性があるとして、この脆弱性を評価しました。シスコでは、設定済みのFHS機能がバイパスされないことを確認しました。

CVE ID:CVE-2021-27862
セキュリティ影響評価(SIR):中 
CVSS ベーススコア:4.7
CVSSベクトル:CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

回避策

これらの脆弱性の一部に対処する回避策があります。 

CVE-2021-27853

管理者は、レイヤ2アクセスコントロールリスト(ACL)を使用してethertypeを検出できないパケットや、タグ付きトラフィックをタグで廃棄することが想定されていないパケットを廃棄する可能性があります。単一のdot1Pヘッダーを受信した場合でも、ネットワークオペレーティングシステムがサポートしていれば、正しく処理されます。

FHSが設定されているアクセスポートに実装できるレイヤ2 ACLの例を次に示します。

Cisco IOSソフトウェア – スイッチ

!
mac access-list extended CSCwa14271
 permit any any 0x86DD 0x0
 permit any any 0x800 0x0
 permit any any 0x806 0x0
 deny   any any
!
interface GigabitEthernet1/0/1
 switchport access vlan 5
 switchport voice vlan dot1p
 ipv6 nd raguard attach-policy HOSTS
 mac access-group CSCwa14271 in
!

Cisco IOS XEソフトウェア – スイッチ

スイッチ上のCisco IOS XEソフトウェアでは、すべてのFHS機能への影響はCisco IOSソフトウェアリリース17.6.1以降で発生しますが、最初の修正済みリリースよりも前のリリースです。この問題は、アクセスポートVLANにアクティブなスイッチ仮想インターフェイス(SVI)がある場合には発生しません。たとえば、VLAN 5にアクセスポートがある場合、この問題はinterface vlan 5が設定されていない場合にのみ発生します。Cisco IOSソフトウェアの脆弱性のあるリリースでこの問題を軽減するために、管理者はアクセスポートに割り当てられた各VLANに対応するSVIが設定されていることを確認できます。 

スイッチ上のCisco IOS XEソフトウェアの場合、ダイナミックARPインスペクションはすべてのリリースで影響を受けます。管理者は、環境内の重要な資産を保護するために、デフォルトゲートウェイと、保護されているセグメントの重要なサーバおよびホストに対してスタティックARPエントリを設定できます。

Cisco IOS XEソフトウェア:ルータ

encapsulation priority-taggedを使用するサービスインスタンスがあり、環境で最初のタグ(プラットフォームによって異なる)のみを検査する必要がある設定の場合、管理者はencapsulation priority-taggedの後にキーワードexactを追加するか、encapsulation priority-tagged etype ipv4 , ipv6を使用してethertypeフィールドをフィルタリングできます。

サービスインスタンスにencapsulation priority-taggedが割り当てられていない環境では、ヘッダーの先頭がdot1pのタグが付いたパケットが転送されるのを防ぐために、管理者はencapsulation priority-taggedを使用して、ブリッジドメインに割り当てられていないサービスインスタンスを設定できます。

Cisco IOS XR ソフトウェア

l2transport サブインターフェイスがencapsulation dot1q|dot1ad priority-tagged で設定され、(プラットフォームに応じて)環境が最初のタグだけを検査する必要がある設定の場合、管理者はencapsulation dot1q|dot1ad priority-tagged の後にキーワードexact を追加できます。

encapsulation dot1q|dot1ad priority-tagged がl2transportサブインターフェイスに割り当てられていない環境では、ヘッダーの先頭がdot1pのタグが付いたパケットが転送されないように、管理者はencapsulation dot1q priority-tagged およびencapsulation dot1ad priority-taggedを使用して、ブリッジドメインに割り当てられていないl2transportサブインターフェイスを設定できます。

Cisco NX-OS ソフトウェア

!
mac access-list drop_three_tags
 deny any any 0x8100
 deny any any 0x88a8
 permit any any 
!
interface ethernet 1/4
 mac port access-group drop_three_tags
!

Cisco Small Businessスイッチ

FHSがアクセスポートで正しく機能するようにするには、MAC ACLをインストールして、タグ付きフレームのみを拒否するか(アクセスポートでは想定されていないため)、すべてのアクセスポートでARP、IPv4、およびIPv6のみを許可します。次に、Cisco Sx250、350、550シリーズスマートスイッチとCisco Business 250および350シリーズスマートスイッチの例を示します。

mac access-list extended arp-ip-ip6
 permit any any 806 0000 ace-priority 1
 permit any any 800 0000 ace-priority 2
 permit any any 86dd 0000 ace-priority 3

 

CVE-2021-27861

CVE-2021-27861を緩和するための原則は、レイヤ2 ACLを使用してレイヤ3プロトコルを検出できないパケットをドロップすることです。

FHPが設定されているアクセスポートに実装できるレイヤ2 ACLの例を次に示します。

Cisco IOSソフトウェア – スイッチ

緩和策や回避策はありません。

Cisco IOS XR ソフトウェア

緩和策や回避策はありません。

Cisco NX-OS ソフトウェア

!
interface Ethernet1/3
  switchport
  switchport access vlan 5
  mac port access-group drop_non
  ipv6 nd raguard attach-policy HOSTS
!
interface Ethernet1/4
  switchport
  switchport access vlan 5
  mac port access-group drop_non
  ipv6 nd raguard attach-policy CSCvw92154
!
mac access-list drop_non
  10 permit any any 0x86dd
  20 permit any any ip
  30 permit any any 0x806
  35 permit any 0100.0ccc.cccc 0000.0000.0000
  40 deny any any
!

Cisco Small Businessスイッチ

緩和策や回避策はありません。

これらの回避策は導入されており、テスト環境では実証済みですが、お客様は、ご使用の環境および使用条件において適用性と有効性を判断する必要があります。また、導入されている回避策または緩和策が、お客様固有の導入シナリオおよび制限に基づいて、ネットワークの機能やパフォーマンスに悪影響を及ぼす可能性があることに注意してください。回避策や緩和策は、ご使用の環境への適用性と環境への影響を評価した後で導入してください。

修正済みソフトウェア

ソフトウェアのアップグレードを検討する際には、シスコ セキュリティ アドバイザリ ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性とアップグレード ソリューション一式を確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

修正済みリリース

CVE-2021-27853

発行時点では、次の表に示すリリース情報は正確でした。最も完全で最新の情報については、このアドバイザリの上部にあるバグ ID の詳細セクションを参照してください。

製品 Cisco Bug ID First Fixed Release(修正された最初のリリース)
Cisco IOS XEスイッチ 0.CSCvz91291 17.6.3
17.8.1

CVE-2021-27854

シスコは、アクセスポイントに設定されたFHS機能に対する脆弱性の影響に基づいて、この脆弱性を評価しました。影響は確認されませんでした。

CVE-2021-27861

このドキュメントの発行時点で、シスコはこの脆弱性に対処するアップデートをシスコ製品に対してリリースしていません。

CVE-2021-27862

シスコは、アクセスポイントに設定されたFHS機能に対する脆弱性の影響に基づいて、この脆弱性を評価しました。影響は確認されませんでした。

Cisco PSIRTが検証するのは、このアドバイザリに記載されている影響を受ける修正済みリリース情報のみです。

不正利用事例と公式発表

Cisco PSIRT は、このアドバイザリで説明されているいくつかの脆弱性に対して概念実証段階のエクスプロイトコードが利用可能であることを認識しています。

Cisco PSIRT では、このアドバイザリに記載されている脆弱性のいかなる悪用も認識していません。

出典

シスコは、これらの脆弱性の報告に関してEtienne Champetier氏に謝意を表するとともに、Cert/CCの調整に感謝いたします。

URL

改訂履歴

バージョン 説明 セクション ステータス 日付
1.1 影響を受ける製品情報を修正。 詳細 Final 2022 年 10 月 5 日
1.0 初回公開リリース Final 2022 年 9 月 27 日

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。