【活用ガイド】

JVNDB-2015-004673

UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題

概要

UPnP を実装した複数の家庭用ルータ製品において、UPnP Control URL で使われる UUID のランダム化や他のセキュリティ対策が十分に実施されていない問題があります。

UPnP は、ネットワーク上の機器の自動検出や機器間の通信を規定したプロトコルです。設計当初 UPnP は、WAN 側からのアクセスがなく信頼できるユーザのみが使用しているプライベートネットワーク内での使用を想定していたため、デフォルトでは認証機能を規定していません。その後 UPnP のセキュリティ機能が規定されましたが、UPnP Forum のドキュメント Device Protection Service では、使用時の手間が増えること、PKI (公開鍵基盤) のような高度な機能の実装が進まないことから、「この機能の普及は非常に限定的であった」と記載されています。

UPnP
http://upnp.org/index.php/sdcps-and-certification/standards/device-architecture-documents/

WAN 側からのアクセスがない (UPnP Forum FAQ)
http://upnp.org/sdcps-and-certification/documents/technical_faq/#9.0

Device Protection Service
http://upnp.org/specs/gw/UPnP-gw-DeviceProtection-v1-Service.pdf


本件の報告者によれば、セキュリティ機能の実装が進まない状況では、市場の多くの製品の UPnP Control URL を容易に推測できる可能性があります。UPnP Control URL が推測できれば、UPnP 機能を使用して例えば家庭用ルータの設定を変更し、ポートを開放したり、機能を有効化したりすることが可能になります。異なる開発者の製品で同じような UPnP Control URL が使われていることが多いため、推測は容易になると考えられます。

一部の開発者からは、UUID をランダム化して UPnP Control URL の推測を困難にするような実装を行っているとの報告を受けていますが、多くの開発者はこのような対策を実施していません。詳しくは本アドバイザリの【ベンダ情報】のセクションや、CERT/CC Vulnerability Note VU#361684 の Vendor Information に掲載されている情報を参照してください。UPnP のセキュリティ機能がどの程度普及しているのか、現時点では不明です。

Vendor Information
https://www.kb.cert.org/vuls/id/361684#vendors


外部からプライベートネットワークへのアクセスを得る攻撃手法の一つとして、「DNS リバインディング」が知られています。過去には、Flash を使用して UPnP の制御を奪取する手法が報告されています。

DNS リバインディング
https://crypto.stanford.edu/dns/

UPnP の制御を奪取する手法
http://www.gnucitizen.org/blog/hacking-the-interwebs


本件の報告者は、詳しい情報を http://www.filet-o-firewall.com で公開しています。
CVSS による深刻度 (CVSS とは?)

基本値: 4.3 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし

影響を受けるシステム

影響を受けるシステムは複数存在します。

(複数のベンダ)
  • (複数の製品)
日本電気
  • IP38X/1000 Rev.8.01.07以降
  • IP38X/107e 全てのリビジョン
  • IP38X/1100 全てのリビジョン
  • IP38X/1200 全てのリビジョン
  • IP38X/1210 全てのリビジョン
  • IP38X/1500 全てのリビジョン
  • IP38X/55i Rev.4.06.19b以降
  • IP38X/57i Rev.8.00.87以前
  • IP38X/57i Rev.8.00.89以降
  • IP38X/58i Rev.9.01.29以前
  • IP38X/58i Rev.9.01.33以降
  • IP38X/810 全てのリビジョン
  • IP38X/FW120 全てのリビジョン
  • IP38X/N500 全てのリビジョン
  • IP38X/SR100 全てのリビジョン
  • IP38X/V700 全てのリビジョン

詳しくは本アドバイザリの【ベンダ情報】のセクションや、CERT/CC Vulnerability Note VU#361684 の Vendor Information に掲載されている情報を参照してください。

本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV15-018 をご確認ください。
想定される影響

細工されたウェブページにアクセスすることで、気づかないうちにファイアウォールのポートを開放されたり、ルータに対して任意の操作を実行されたりする可能性があります。
対策

2015年9月1日現在、この問題を完全に解消する対策は不明です。

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、この問題を軽減することが可能です。

 * 不明な URL にアクセスしない
  接続先が不明な URL のアクセスの際には注意が必要です。
 * UPnP を無効にする
  家庭内ネットワークで使用しているネットワーク機器の UPnP 機能を無効化する
  ことを検討してください。UPnP を使用する場合は、使用目的とリスクを十分に
  比較検討して判断してください。

[開発者による対策]
UPnP を実装する機器の開発者は、次の対策を検討してください。

 * UPnP Control URL の UUID をランダム化する
  UPnP の UUID と URL を適切にランダム化することで、総当たり攻撃への耐性を
  向上させることができます。ただしこれは完全な対策ではありません。
 * 最新の UPnP セキュリティ機能を実装する
  UPnP を使用する機器のセキュリティ向上のため、最新の UPnP セキュリティ機
  能の実装を検討してください。
ベンダ情報

アライドテレシス インターネットイニシアティブ ヤマハ 古河電気工業 日本電気
  • NEC製品セキュリティ情報 : NV15-018
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVNVU#99671861
  2. US-CERT Vulnerability Note : VU#361684
  3. 関連文書 : UPnP Forum - Device Architecture Documents
  4. 関連文書 : Awesome Inc. - Filet-o-Firewall
更新履歴

[2015年09月11日]
  掲載
[2015年10月28日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV15-018) を追加