UPnP を実装した複数の家庭用ルータ製品において、UPnP Control URL で使われる UUID のランダム化や他のセキュリティ対策が十分に実施されていない問題があります。 UPnP は、ネットワーク上の機器の自動検出や機器間の通信を規定したプロトコルです。設計当初 UPnP は、WAN 側からのアクセスがなく信頼できるユーザのみが使用しているプライベートネットワーク内での使用を想定していたため、デフォルトでは認証機能を規定していません。その後 UPnP のセキュリティ機能が規定されましたが、UPnP Forum のドキュメント Device Protection Service では、使用時の手間が増えること、PKI (公開鍵基盤) のような高度な機能の実装が進まないことから、「この機能の普及は非常に限定的であった」と記載されています。 UPnP http://upnp.org/index.php/sdcps-and-certification/standards/device-architecture-documents/ WAN 側からのアクセスがない (UPnP Forum FAQ) http://upnp.org/sdcps-and-certification/documents/technical_faq/#9.0 Device Protection Service http://upnp.org/specs/gw/UPnP-gw-DeviceProtection-v1-Service.pdf 本件の報告者によれば、セキュリティ機能の実装が進まない状況では、市場の多くの製品の UPnP Control URL を容易に推測できる可能性があります。UPnP Control URL が推測できれば、UPnP 機能を使用して例えば家庭用ルータの設定を変更し、ポートを開放したり、機能を有効化したりすることが可能になります。異なる開発者の製品で同じような UPnP Control URL が使われていることが多いため、推測は容易になると考えられます。 一部の開発者からは、UUID をランダム化して UPnP Control URL の推測を困難にするような実装を行っているとの報告を受けていますが、多くの開発者はこのような対策を実施していません。詳しくは本アドバイザリの【ベンダ情報】のセクションや、CERT/CC Vulnerability Note VU#361684 の Vendor Information に掲載されている情報を参照してください。UPnP のセキュリティ機能がどの程度普及しているのか、現時点では不明です。 Vendor Information https://www.kb.cert.org/vuls/id/361684#vendors 外部からプライベートネットワークへのアクセスを得る攻撃手法の一つとして、「DNS リバインディング」が知られています。過去には、Flash を使用して UPnP の制御を奪取する手法が報告されています。 DNS リバインディング https://crypto.stanford.edu/dns/ UPnP の制御を奪取する手法 http://www.gnucitizen.org/blog/hacking-the-interwebs 本件の報告者は、詳しい情報を http://www.filet-o-firewall.com で公開しています。

2015年9月1日現在、この問題を完全に解消する対策は不明です。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、この問題を軽減することが可能です。 　* 不明な URL にアクセスしない 　　接続先が不明な URL のアクセスの際には注意が必要です。 　* UPnP を無効にする 　　家庭内ネットワークで使用しているネットワーク機器の UPnP 機能を無効化する 　　ことを検討してください。UPnP を使用する場合は、使用目的とリスクを十分に 　　比較検討して判断してください。 [開発者による対策] UPnP を実装する機器の開発者は、次の対策を検討してください。 　* UPnP Control URL の UUID をランダム化する 　　UPnP の UUID と URL を適切にランダム化することで、総当たり攻撃への耐性を 　　向上させることができます。ただしこれは完全な対策ではありません。 　* 最新の UPnP セキュリティ機能を実装する 　　UPnP を使用する機器のセキュリティ向上のため、最新の UPnP セキュリティ機 　　能の実装を検討してください。