古河電工ネットワーク機器の総合ブランド ファイテルネット
UPnP機能を外部から操作される可能性がある問題
| 2015年09月11日 初版 |
○概要
UPnP機能を外部から操作される可能性が報告されています。
UPnP(Universal Plug and Play)は、対応機器をネットワークに接続するだけでネットワーク上の様々なサービスを利用できるようにする機能です。
IP電話のように、通信の開始が受信で始まる可能性があるアプリケーションでは、ルータのNAT機能等で外部から内部への通信が遮断されている状況ではアプリケーションが正常に動作しないことがあるため、UPnPでは、UPnP対応機器(IP電話機)からUPnP対応ルータに対して、アプリケーションで必要な外部から内部への中継を許容するように要求するための機能が規定されています。
また、多くのUPnP対応ルータ実装では、UPnP対応機器を認証する機能を有していなかったり、UPnPアクセスのためのURLや要求メッセージ内容が容易に推測できる可能性があると報告されています。
このようなUPnP対応ルータ実装の場合、ネットワークに接続された端末から細工されたウェブページにアクセスすることで、気づかないうちにUPnP機能が操作され、外部から内部への中継が許容されてしまう可能性が指摘されています。
・参考情報
UPnP(Universal Plug and Play)は、対応機器をネットワークに接続するだけでネットワーク上の様々なサービスを利用できるようにする機能です。
IP電話のように、通信の開始が受信で始まる可能性があるアプリケーションでは、ルータのNAT機能等で外部から内部への通信が遮断されている状況ではアプリケーションが正常に動作しないことがあるため、UPnPでは、UPnP対応機器(IP電話機)からUPnP対応ルータに対して、アプリケーションで必要な外部から内部への中継を許容するように要求するための機能が規定されています。
また、多くのUPnP対応ルータ実装では、UPnP対応機器を認証する機能を有していなかったり、UPnPアクセスのためのURLや要求メッセージ内容が容易に推測できる可能性があると報告されています。
このようなUPnP対応ルータ実装の場合、ネットワークに接続された端末から細工されたウェブページにアクセスすることで、気づかないうちにUPnP機能が操作され、外部から内部への中継が許容されてしまう可能性が指摘されています。
・参考情報
○当社製品に対する影響
ルータでUPnP機能を有効としている場合、LAN側の端末等で細工されたウェブページにアクセスすることで、利用者が気づかないうちにウェブページに埋め込まれたスクリプト等によりUPnP機能を操作され、ルータのNAT機能で一部ポートが開放されるといった影響を受ける可能性があります。
当社のネットワーク機器(FITELnet)製品においても、UPnP機能を提供しているものがあり、ご利用方法によっては本件脆弱性の影響を受ける可能性があります。
なお、UPnP機能はデフォルトではOFF(無効)となっております。
当社のネットワーク機器(FITELnet)製品においても、UPnP機能を提供しているものがあり、ご利用方法によっては本件脆弱性の影響を受ける可能性があります。
なお、UPnP機能はデフォルトではOFF(無効)となっております。
|
×:影響あり =:当該機能をサポートしていないため影響なし |
|
○回避方法
upnp-server enable が設定されていなければ、UPnPは無効となります。
upnp-server access-group 1
access-list 1 permit x.x.x.x 0.0.0.0
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2015