JVNVU#99671861: UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題
公開日:2015/09/01 最終更新日:2015/10/22

JVNVU#99671861
UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題

概要

UPnP を実装した複数の家庭用ルータ製品において、UPnP Control URL で使われる UUID のランダム化や他のセキュリティ対策が十分に実施されていない問題があります。

影響を受けるシステム

影響を受けるシステムは複数存在します。
詳しくは本アドバイザリの【ベンダ情報】のセクションや、CERT/CC Vulnerability Note VU#361684 の Vendor Information に掲載されている情報を参照してください。

詳細情報

UPnP は、ネットワーク上の機器の自動検出や機器間の通信を規定したプロトコルです。設計当初 UPnP は、WAN 側からのアクセスがなく信頼できるユーザのみが使用しているプライベートネットワーク内での使用を想定していたため、デフォルトでは認証機能を規定していません。その後 UPnP のセキュリティ機能が規定されましたが、UPnP Forum のドキュメント Device Protection Service では、使用時の手間が増えること、PKI (公開鍵基盤) のような高度な機能の実装が進まないことから、「この機能の普及は非常に限定的であった」と記載されています。

本件の報告者によれば、セキュリティ機能の実装が進まない状況では、市場の多くの製品の UPnP Control URL を容易に推測できる可能性があります。UPnP Control URL が推測できれば、UPnP 機能を使用して例えば家庭用ルータの設定を変更し、ポートを開放したり、機能を有効化したりすることが可能になります。異なる開発者の製品で同じような UPnP Control URL が使われていることが多いため、推測は容易になると考えられます。

一部の開発者からは、UUID をランダム化して UPnP Control URL の推測を困難にするような実装を行っているとの報告を受けていますが、多くの開発者はこのような対策を実施していません。詳しくは本アドバイザリの【ベンダ情報】のセクションや、CERT/CC Vulnerability Note VU#361684 の Vendor Information に掲載されている情報を参照してください。UPnP のセキュリティ機能がどの程度普及しているのか、現時点では不明です。

外部からプライベートネットワークへのアクセスを得る攻撃手法の一つとして、「DNS リバインディング」が知られています。過去には、Flash を使用して UPnP の制御を奪取する手法が報告されています

本件の報告者は、詳しい情報を http://www.filet-o-firewall.com で公開しています。

想定される影響

細工されたウェブページにアクセスすることで、気づかないうちにファイアウォールのポートを開放されたり、ルータに対して任意の操作を実行されたりする可能性があります。

対策方法

2015年9月1日現在、この問題を完全に解消する対策は不明です。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、この問題を軽減することが可能です。

  • 不明な URL にアクセスしない
    接続先が不明な URL のアクセスの際には注意が必要です。
  • UPnP を無効にする
    家庭内ネットワークで使用しているネットワーク機器の UPnP 機能を無効化することを検討してください。UPnP を使用する場合は、使用目的とリスクを十分に比較検討して判断してください。
開発者による対策
UPnP を実装する機器の開発者は、次の対策を検討してください。
  • UPnP Control URL の UUID をランダム化する
    UPnP の UUID と URL を適切にランダム化することで、総当たり攻撃への耐性を向上させることができます。ただしこれは完全な対策ではありません。
  • 最新の UPnP セキュリティ機能を実装する
    UPnP を使用する機器のセキュリティ向上のため、最新の UPnP セキュリティ機能の実装を検討してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
NTT-CERT 該当製品無し 2015/09/01
アライドテレシス株式会社 該当製品あり 2015/09/08
シャープ株式会社 脆弱性情報提供済み 2015/09/01
ジェイティ エンジニアリング株式会社 該当製品無し 2015/09/01
ビー・ユー・ジー森精機株式会社 該当製品無し 2015/09/01
プラネックスコミュニケーションズ株式会社 脆弱性情報提供済み 2015/09/01
ヤマハ株式会社 該当製品あり 2015/09/07 ヤマハ株式会社 の告知ページ
住友電気工業株式会社 該当製品無し 2015/09/01
古河電気工業株式会社 該当製品あり 2015/09/11
富士通株式会社 該当製品無し 2015/09/15
日本電気株式会社 該当製品あり 2015/10/21
株式会社インターネットイニシアティブ 該当製品あり 2015/09/11 株式会社インターネットイニシアティブ の告知ページ
株式会社バッファロー 該当製品あり(調査中) 2015/09/02
株式会社リコー 該当製品無し 2015/09/01
横河メータ&インスツルメンツ株式会社 該当製品無し 2015/09/01

参考情報

  1. CERT/CC Vulnerability Note VU#361684
    Router devices do not implement sufficient UPnP authentication and security
  2. Awesome Inc.
    Filet-o-Firewall
  3. UPnP Forum
    Device Architecture Documents

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2015.09.01における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に何らかの条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 情報は漏えいしない
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さが部分的に損なわれる
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用は阻害されない

Base Score:4.3

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2015/09/02
株式会社バッファローのベンダステータスが更新されました
2015/09/03
アライドテレシス株式会社のベンダステータスが更新されました
2015/09/07
ヤマハ株式会社のベンダステータスが更新されました
2015/09/08
アライドテレシス株式会社のベンダステータスが更新されました
2015/09/11
株式会社インターネットイニシアティブのベンダステータスが更新されました
2015/09/11
古河電気工業株式会社のベンダステータスが更新されました
2015/09/16
富士通株式会社のベンダステータスが更新されました
2015/10/22
日本電気株式会社のベンダステータスが更新されました