公開日:2020/06/09 最終更新日:2020/08/21

JVNTA#95827565
UPnP プロトコルを実装した機器に対する攻撃手法について(CallStranger)

概要

UPnP プロトコルを実装した機器に対する攻撃手法が報告されています。 インターネットからアクセス可能な UPnP 機器は、DDoS 攻撃に悪用されたり、機器内部の情報を外部に送信させられたりする可能性があります。

影響を受けるシステム

  • UPnP プロトコルを実装し、インターネットからアクセス可能な機器

詳細情報

UPnP (Universal Plug-and-Play) は、ネットワーク上の機器の自動検出や機器間の通信を規定したプロトコルです。
UPnP プロトコルは UPnP フォーラムで策定され、その後 2016年には OCF (Open Connectivity Foundation) に移管されています。

UPnP プロトコルを実装した機器は、インターネットからアクセスできない、組織内ネットワーク(LAN)で使用されることが想定されています。しかし、実際にはインターネットから直接アクセス可能な機器が多く存在することが知られています。

UPnP プロトコルでは、サービスを提供する機器がイベント発生時に通知を行う仕組みが規定されています。これは、通知を受け取りたい機器があらかじめサービス提供側の機器に SUBSCRIBE メッセージを送って通知先を登録し、何らかのイベントが発生したときに通知(NOTIFICATION メッセージ)が送られるというものです。

報告者はいくつかの UPnP 実装について調査を行ない、このイベント通知の仕組みが DDoS 攻撃に悪用される可能性を指摘しています。 また、外部に出すべきでない機微な情報がイベント通知メッセージに含まれる場合に、情報取得の手段として悪用される可能性についても指摘しています。

報告者は、UPnP プロトコルを管理している OCF に報告を行っており、OCF では UPnP Architecture ドキュメントの改訂を検討しています。現在、「UPnP Device Architecture version 2.0」の2020年4月17日改訂版が公開されており、section 4.1.1 において

「登録メッセージが指定する通知先 URL は、同一ネットワークセグメント内を指すもの以外は受け付けてはいけない(shall not)」
("The subscription request containing a delivery URL not on the same network segment as the fully qualified event subscription URL shall not be accepted.")

との記載が追加されています。

想定される影響

インターネットから直接アクセス可能になっているなど、信頼できない第三者がアクセス可能な状態で運用されている UPnP 実装機器は、 DDoS 攻撃に悪用されたり、機微な情報を外部に送信してしまう可能性があります。

対策方法

UPnP実装機器のユーザ向け

  • 外部からアクセスされないように設置する

    機器を接続する際には、信頼できない通信相手によって機器を悪用されないような接続形態およびネットワーク構成を確保してください。例えば、インターネットから直接アクセスできるような形態での運用を避けてください。

  • UPnP 機能を無効にする

    UPnP の機能を使用する必要がない場合は、UPnP 機能を無効に設定してください。


開発者向け
  • UPnP プロトコル実装を更新する

    UPnP プロトコルの改訂内容を参照してください。

  • ユーザ向けの説明を充実させる

    製品開発者が想定していない形態で当該機器が設置され、第三者に悪用される可能性は常に存在します。当該機器でどのような機能が動作しているのか、開発者が想定している (あるいは避けてほしいと考えている) 設置環境はどのようなものか、をユーザに分かりやすく伝えることを心掛けてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
サイレックス・テクノロジー株式会社 該当製品無し 2020/06/09
ジェイティ エンジニアリング株式会社 該当製品無し 2020/08/21
古河電気工業株式会社 該当製品あり 2020/06/09
ベンダ リンク
Jouni Malinen UPnP SUBSCRIBE misbehavior in hostapd WPS AP

参考情報

  1. CERT/CC Vulnerability Note VU#339275
    Universal Plug and Play (UPnP) SUBSCRIBE can be abused to send traffic to arbitrary destinations
  2. CallStranger
    Data Exfiltration & Reflected Amplified TCP DDOS & Port Scan via UPnP SUBSCRIBE Callback
  3. yunuscadirci / CallStranger - GitHub
    Vulnerability checker for Callstranger (CVE-2020-12695)
  4. Open Connectivity Foundation
    UPNP STANDARDS & ARCHITECTURE
  5. Open Connectivity Foundation
    UPnP Device Architecture 2.0 (Document Revision Date: April 17, 2020)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-12695
JVN iPedia

更新履歴

2020/06/09
サイレックス・テクノロジー株式会社のベンダステータスが更新されました
2020/08/21
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました