UPnP (Universal Plug and Play) 機能に脆弱性 2013/01/29

2013年1月29日にブロードバンドルータなどのUPnP (Universal Plug and Play) 機能に脆弱性が存在することが公表されました。

脆弱性の影響
WAN側のインタフェース経由でUPnPクエリーを受け入れてしまい、
攻撃者がデバイス上で任意のコードを実行できてしまう。

ブロードバンドルータは基本的にデフォルトでUPnP機能が有効になっています。
必要のない場合はこの機能を無効化することをお勧めします。
ただし、オンラインゲームなどではこの機能を使用しているものもあるのでご注意ください。

また、今後のバージョンアップ等の対処についてはブロードバンドルータのメーカーにご確認ください。

UPnP機能無効化例

NEC
“設定画面”→”詳細設定”→”その他の設定”
UPnP機能 使用するのチェックを外し設定の保存

Buffalo
“設定画面”→”ゲーム&アプリ”→”UPnP”
UPnP機能 使用するのチェックを外し設定の保存

【参照】

ITmedia エンタープライズ
「UPnP」に脆弱性見つかる、ルータなど数千万台に影響
http://www.itmedia.co.jp/enterprise/articles/1301/30/news037.html

US-CERT
Vulnerability Note VU#922681
Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP
https://www.kb.cert.org/vuls/id/922681

JVN
JVNVU#90348117 – Portable SDK for UPnP にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU90348117/