UPnP、ルータ製品が十分にUPnP認証とセキュリティを実装しない脆弱性を確認

  • 元記事:Filet-o-Firewall
  • HP:UPnP
  • 発表日時 2015/8/31

    ルータ製品が十分にUPnP認証とセキュリティを実装しない脆弱性が確認された。複数のベンダの製品がこの脆弱性の影響を受ける。UPnPは当初WAN 側からのアクセスがなかったため、認証機能がデフォルトで規定されておらず後から規定されたが、高度な機能実装が進まず限定的な機能となっていた。セキュリティ機能の実装が進まないため、UPnP Control URL が推測できる可能性があり、この問題が悪用されると、細工されたウェブページへのアクセスによりファイアウォールのポートが開放されたりルータに任意の操作が実行される恐れがある。現在この脆弱性に対する解決策は確認されていない。回避策として不明なURLにアクセスしないようにし、家庭内ネットワークで使用しているネットワーク機器の UPnP 機能を無効化するよう推奨している。また、開発者はUPnP Control URLのUUID をランダム化し、最新の UPnP セキュリティ機能を実装するよう推奨している。