VLAN対応ネットワーク機器に複数の脆弱性、ただちに確認を-JPCERT/CC

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月6日、「JVNTA#96784241: VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題」において、VLAN対応ネットワーク機器に複数の脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、ネットワーク機器の保護機構がバイパスされ、サービス運用妨害(DoS: Denial of Service)攻撃や中間者攻撃(MITM: Man-in-the-Middle)による通信内容の窃取が行われる危険性があるとされており注意が必要。

脆弱性の影響を受けるとされるプロダクトは次のとおり。

IEEE 802.1adで定義された二重タギング（QinQ）方式によるVLANネットワーキングをサポートするネットワーク機器
IEEE802.3およびIEEE802.11の両者をサポートするネットワーク機器
イーサネットフレームのヘッダに未定義の値が含まれていても破棄しないネットワーク機器

通信機器ベンダーごとの脆弱性に関する情報は、次のページにまとまっている。発見された複数の脆弱性の問題に該当する製品はまだ見つかっておらず、調査中のベンダーもある(2022年10月6日時点)。

NTT-CERT - 該当製品無し（調査中）

アライドテレシス株式会社 - 該当製品なし

ビー・ユー・ジーＤＭＧ森精機株式会社 - 該当なし

住友電気工業株式会社 - 該当製品なし

古河電気工業株式会社 - 該当製品なし

富士通株式会社 - 該当製品無し（調査中）

日本電気株式会社 - 該当製品無し（調査中）

楽天モバイル株式会社 - 該当製品なし

横河計測株式会社 - 該当製品なし

沖電気工業株式会社 - 該当製品なし