パーソナルコンピュータ、プリンタ、モバイルデバイス、ルーター、ゲーム機、Wi-Fiアクセスポイントなど、数十億のネットワークデバイスやIoTデバイスに実装されているユニバーサルプラグアンドプレイ(UPnP)の脆弱性(CVE-2020–12695)により、認証されていないリモート攻撃者がデータを盗み、内部ネットワークをスキャンしたり、デバイスをDDoS攻撃に参加させたりする可能性があります。,
UPnPについて
UPnPは、ネットワーク接続されたデバイスが同じネットワーク上で自動的に検出し、相互に対話できるようにするネットワークプロトコルのセットです。
UPnPは、主に住宅用およびSOHO無線ネットワーク向けです。 これは、信頼されたローカルエリアネットワーク(LAN)で使用されるように設計されているため、プロトコルは認証または検証の形式を実装しません。 これは、いくつかのUPnPデバイスがデフォルトでオフになっているプロトコルで出荷され、必要に応じて管理者がそれを有効にする理由の一つです。,
UPnPプロトコルの開発は、接続されたデバイスの相互運用性を促進することを目標とする標準化団体であるOpen Connectivity Foundation(OCF)によって管理されています。
この脆弱性(CVE-2020-12695)について
CVE-2020-12695(別名”CallStranger”)は、セキュリティ研究者Yunus Çadırcıによって発見され、2019年後半にofcに非公開で報告されました。,
“この脆弱性(…)は、UPnP SUBSCRIBE関数のコールバックヘッダー値が攻撃者によって制御され、数百万のインターネットと数十億のLANデバイスに影響を与えるSSRFのような脆弱性を可能にすることによって引き起こされます”とÇadırcıは説明しました。
より多くの技術的詳細はここにありますが、要するに、この脆弱性を使用して、DLPおよびネットワークセキュリティデバイスをバイパスして、データを抽出し、内部ポートをスキャンし、何百万ものインターネ
今は何ですか?,
Open Connectivity Foundationはこの脆弱性を修正し、April17,2020にUPnP仕様を更新しました。 ても連絡の一部影響がベンダーに含まれÇadırcıの報告書).
Shodan検索では、UPnPが有効になっている約5,5万台のインターネット向けデバイスがあることが示されています。
確認された脆弱なデバイスの中には、Windows10、Xbox One、Belkin WeMoホームオートメーションデバイス、Canon、HP、Epson製のプリンタ、Samsung smart Tv、Broadcom、Cisco、D-Link、Huawei、Zyxelなどが製造したルーターおよびモデムがあります。,
CMUのSoftware Engineering InstituteはCVE-2020-12695の脆弱性ノートも公開しており、影響を受けるデバイスと利用可能なパッチへのリンクを一覧表示するように更新します。 彼らはまた、一般的に、インターネット上でUPnPを利用可能にすることは避けるべきであると指摘しました。
“デバイスメーカーは、デフォルト設定でUPnP SUBSCRIBE機能を無効にし、ユーザーに適切なネットワーク制限でSUBSCRIBEを明示的に有効にして、信頼できるローカルエリアネットワーク,
“ベンダーは、OCFによって提供される更新された仕様を実装するよう求められています。 ユーザーモニタリングベンダー支援チャンネルのアップデートを実装する新規加入仕様となります。”
Çadırcıは、CallStrangerはプロトコルの脆弱性であるため、ベンダーがパッチを提供するのに長い時間がかかる可能性があると指摘しました。
“ホームユーザーは直接ターゲットにされることは期待されていません。 場合にはインターネットに直面デバイスのUPnP端のデバイスの使用が可能にDDoSソース、”と彼は付け加えた。,
彼は、企業が使用するデバイスが脆弱であるかどうかをチェックするように助言し、それを行うのに役立つスクリプトを提供し、実行できるいくつかの緩和措置をレイアウトしました。
“CallStrangerの最大のリスクとして、データの流出を参照してください。 過去に脅威アクターがこれを使用した場合、ログを確認することは重要です”と彼は指摘しました。 “でも使用できるDDoSまbotnets開の実施にこの新しい技術による消費するエンドユーザーのデバイス。, 最新のUPnP脆弱性のため、企業はインターネットに公開されているUPnPデバイスをブロックしたため、インターネットからイントラネットへのポートスキャンは”
Leave a Reply