原文

UPnP を実装した複数の家庭用ルータ製品において、UPnP Control URL で使われる UUID のランダム化や他のセキュリティ対策が十分に実施されていない問題があります。 UPnP は、ネットワーク上の機器の自動検出や機器間の通信を規定したプロトコルです。設計当初 UPnP は、WAN 側からのアクセスがなく信頼できるユーザのみが使用しているプライベートネットワーク内での使用を想定していたため、デフォルトでは認証機能を規定していません。その後 UPnP のセキュリティ機能が規定されましたが、UPnP Forum のドキュメント Device Protection Service では、使用時の手間が増えること、PKI (公開鍵基盤) のような高度な機能の実装が進まないことから、「この機能の普及は非常に限定的であった」と記載されています。 UPnP http://upnp.org/index.php/sdcps-and-certification/standards/device-architecture-documents/ WAN 側からのアクセスがない (UPnP Forum FAQ) http://upnp.org/sdcps-and-certification/documents/technical_faq/#9.0 Device Protection Service http://upnp.org/specs/gw/UPnP-gw-DeviceProtection-v1-Service.pdf 本件の報告者によれば、セキュリティ機能の実装が進まない状況では、市場の多くの製品の UPnP Control URL を容易に推測できる可能性があります。UPnP Control URL が推測できれば、UPnP 機能を使用して例えば家庭用ルータの設定を変更し、ポートを開放したり、機能を有効化したりすることが可能になります。異なる開発者の製品で同じような UPnP Control URL が使われていることが多いため、推測は容易になると考えられます。 一部の開発者からは、UUID をランダム化して UPnP Control URL の推測を困難にするような実装を行っているとの報告を受けていますが、多くの開発者はこのような対策を実施していません。詳しくは本アドバイザリの【ベンダ情報】のセクションや、CERT/CC Vulnerability Note VU#361684 の Vendor Information に掲載されている情報を参照してください。UPnP のセキュリティ機能がどの程度普及しているのか、現時点では不明です。 Vendor Information https://www.kb.cert.org/vuls/id/361684#vendors 外部からプライベートネットワークへのアクセスを得る攻撃手法の一つとして、「DNS リバインディング」が知られています。過去には、Flash を使用して UPnP の制御を奪取する手法が報告されています。 DNS リバインディング https://crypto.stanford.edu/dns/ UPnP の制御を奪取する手法 http://www.gnucitizen.org/blog/hacking-the-interwebs 本件の報告者は、詳しい情報を http://www.filet-o-firewall.com で公開しています。