「UPnP」に脆弱性見つかる、ルータなど数千万台に影響 - ITmedia エンタープライズ(情報元のブックマーク数)
UPnPに脆弱性とのこと。これはネットワーク機器総とっかえか?!
ルータなどのネットワーク機器に広く使われている「Universal Plug and Play」(UPnP)に複数の脆弱性が確認された。大手メーカー各社の製品を含む数千万台が影響を受けるとされ、米セキュリティ機関のUS-CERTはメーカーやデベロッパーに対し、アップデートを適用して脆弱性を修正するよう呼び掛けている。
「UPnP」に脆弱性見つかる、ルータなど数千万台に影響 - ITmedia エンタープライズ
US-CERTが1月29日に公開したセキュリティ情報によれば、UPnPデバイス用のオープンソースポータブルSDKである「libupnp」にバッファオーバーフローの脆弱性が複数存在する。さらに、libupnpを使っているデバイスはWANインタフェース経由でUPnPクエリーを受け入れてしまう可能性があり、脆弱性がインターネットに露出される恐れがある。
脆弱性は、セキュリティ企業のRapid7がインターネット接続されたUPnPデバイスを対象に行った大規模調査プロジェクトで発見。libupnpのSimple Service Discovery Protocol(SSDP)実装に脆弱性があり、リモートの認証を受けない攻撃者が、デバイス上で任意のコードを実行できてしまう恐れがある。
やべぇーーーー
29日にはこれら脆弱性に対処した更新版の「libupnp 1.6.18」が公開された。しかし、各メーカーがこのパッチを自社製品に取り入れるには時間がかかり、出荷が打ち切られた製品にはアップデートが配布されないかもしれないとRapid7は予想する。
「UPnP」に脆弱性見つかる、ルータなど数千万台に影響 - ITmedia エンタープライズ
UPnPを無効するのと、外からのSSDP(1900/UDP)を止めろって。
US-CERT recommends that users and administrators review CERT Vulnerability Note VU#922681, disable UPnP (if possible), and restrict access to SSDP (1900/udp) and Simple Object Access Protocol (SOAP) services from untrusted networks such as the Internet.
Current Activity | US-CERT
ベンダー一覧
満永さんからのこの情報のが詳しいや
わかりやすくまとまっていた。結局はRapid7が、こんな危険なルータが見つかってるよー!って(脆弱性は古いのに)話らしい。
ここからがちょっと難しいのですが、おそらくこの調査によって、いろいろなベンダーのいろいろなルーターが、SSDPリクエストのパースに脆弱性のあるlibupnpを使っており、実際にSSDPを受け取る状態でインターネットに公開されっぱなしになっていたよ!というのが分かったため、一斉に「Vendor Information」に(脆弱性情報として)それらが発表された、ということのようです。
「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた
関連URL
- US-CERT Current Activity
- Vulnerability Notes
- Vulnerability Note VU#922681 - Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP
- Information Security: Security Flaws in Univers... | SecurityStreet
- libupnp.org - Developer resources for the portable UPnP™ library
- Universal Plug and Pray - F-Secure Weblog : News from the Lab
- UPnP scan shows 50 million network devices open to packet attack • The Register
- UPnPに脆弱性か--ネットワーク上の膨大な数の機器に影響のおそれ - CNET Japan
- 数千万台ものネットワーク機器に影響の恐れ:詳報:libupnpに深刻な脆弱性、パッチ適用やUPnP無効化呼び掛け - @IT
- UPnPに脆弱性か--ネットワーク上の膨大な数の機器に影響のおそれ - CNET Japan
- Portable SDK for UPnP の脆弱性に関する注意喚起