--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2013.01.31 18:57|カテゴリ:Security

家庭用ブロードバンドルータでも注意が必要 UPnPの脆弱性によりホームネットワークが乗っ取られる可能性


 昨日からインフルエンザで苦しんでいたので反応が遅れましたが、何やら大きなニュースが出てますね。
 
UPnPに脆弱性か--ネットワーク上の膨大な数の機器に影響のおそれ - CNET Japan
セキュリティ企業Rapid7のセキュリティチームによると、世界中のルータや標準ネットワーク機器の双方で用いられているテクノロジのせいで、ハッカーらが世界中にあるおよそ4000万~5000万台の機器に侵入できる可能性があるという。


 元ネタは、セキュリティベンダーRapid7のホワイトペーパー。寝込んでる分、ゆっくりと読むことが出来ました。 

Whitepaper: Security Flaws in Universal Plug an... | SecurityStreet


 UPnPは、繋ぐだけでネットワークを利用できるようにする仕組みです。ブロードバンドルータなどに搭載されており、繋ぐと必要なポートを自動的にルータ側で設定してくれるのですが、昔から時々脆弱性が発見されています。
 
 今回の脆弱性も実は以前から見つかっていたもののようですが、Rapid7がその実態を調べてみたところ、その深刻さが明らかになった模様です。

 ホワイトペーパーには、実に8,100万もの機器が本来応答してはならないリクエストに対し応答していること、リモートからコードを実行できるようなバージョンのソフトウェア・ライブラリを使用しているIPが2300万以上あることなどが記述されています。

upnp01.jpg

 主な国内ベンダーで、上記リモートからコードを実行できるようなバージョンのソフトウェア・ライブラリの仕様有無は現時点で以下です。
 
upnp03.jpg 
 
 ソニー、古河電気工業、日本電気(NEC)が該当製品あり、アイオーデータ機器が現在調査中となっています。この中では日本電気(NEC)のAtermが最も影響がありそうですので型番を明記しておきます。

 Aterm WR9500N
 Aterm WR9300N
 Aterm WR8750N
 Aterm WR8700N
 Aterm WR8600N
 Aterm WR8370N
 Aterm WR8175N
 Aterm WR8170N
  
 また、バッファローやCoregaなどはまだベンダ情報にないため、注意が必要です。なお、このリストは今後更新される可能性があります。詳しくは下記で確認してください。
JVNVU#90348117: Portable SDK for UPnP にバッファオーバーフローの脆弱性


 対処にはメーカーによるファームウェアのアップデートが必要ですが、上記リスト中、ソニーと日本電気(NEC)は、4月ごろに対応予定となっており、すぐに適用することはできません。また、すでにサポートが切れている製品や倒産したベンダーなどの場合にはファームウェアが公表されない可能性もあります。
 
お知らせ | AV/Hi-Fiオーディオ | ソニー


 
NV13-003: NEC製品セキュリティ情報 | NEC


 他のベンダーにおいても、ファームウェアの公開にはまだ時間を要するでしょう。それまでの間は、UPnPの設定をオフにするのがよいでしょう。手順はお使いの機器のマニュアル等を参考にしてください。下記は私が使用しているブロードバンドルータの設定画面です。
 
upnp02.jpg

 なお、日本電気(NEC)製品は上記ページに手順が記載されています。

 ただし、オフにすることで一部音声チャットやIP電話機器などUPnPを使用するアプリケーションが動作しなくなる恐れがありますのでご注意を。

関連記事


 米国国土安全保障省 Java 7のゼロデイ修正プログラムを適用してもまだ危険と警告 : I believe in technology
これによると、米国国土安全保障省からも、最新のセキュリティアップデートでは脆弱性が完全に解消されておらず、Javaの使用をしないように強く勧告されたことが報じられています。




 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。