掲載番号:NV08-006
脆弱性情報識別番号:VU#347812
概要
UPnP (Universal Plug and Play) 機能が有効になっているネットワーク機器は、遠隔の第三者が細工したURLをユーザにアクセスさせることにより、ユーザのLAN内に接続されているUPnP対応機器を操作したり設定を変更したりする可能性があります。
対象製品
IP38Xシリーズ
- 対処方法
対象となる製品のバージョン:UPnP機能を実装しているすべての機種
- IP38X/58i ※
- IP38X/57i ※
- IP38X/56V ※
- IP38X/SRT100
- IP38X/1100
- IP38X/1000(Rev.7.xxは除く)
- IP38X/107e
- IP38X/1500
- IP38X/V700
※デフォルトでUPnP機能がONになっている製品
IP38XシリーズにおけるUPnP機能は一部の機能のみ有効であるため、ルータの設定情報などが参照される恐れはありますが、設定の変更を行うことはできません。
参照される設定情報
- WAN側のIPアドレス
- WAN側のインタフェースの状態(接続状態、接続時間)
- ポートマッピングのエントリ
- IPマスカレードの状態(有効/無効)
※設定変更はされません
※特にデフォルトでUPnP機能がONになっている製品には注意が必要です
(対策1)対策済みファームウェアへのリビジョンアップ
(対策2)UPnP機能をOFFにする
コマンド:upnp use off
※注意 OFFにすると以下の機能が利用できなくなります。
- UPnP対応パソコンからのルーターの検出
- LAN内にあるパソコンからのWindows Messenger / MSN Messengerによる音声チャットなど
・コンソール画面からの設定変更が難しい場合
以下の手順でツールを利用すれば、ルーターとLANケーブルで接続されたPCから設定変更が可能です。
2.作成されたアイコンをダブルクリックしてツールを起動します。
3.表示された画面の中で、ルーターのIPアドレスの入力、ログインパスワード/管理パスワードの入力、設定するコマンドの選択、を行ってください。
4.upnp useコマンドは"off"を選択してください。
6.「実行」ボタンをクリックします。
7.「設定をしました」の画面が表示されたら、「OK」をクリックしてください。これで終了です。
・意図しないポートマッピングの存在を調べる方法
以下のいずれかの方法で意図しないポートマッピングが行われているかどうかを確認することができます。
1.UPnPのシスログを記録して使っていない筈のUPnPでアクセスされていないかを確認する
UPnPのシスログを記録するには以下を設定します。
"syslog debug on"
"upnp syslog on"
2.UPnPの情報を表示して使っていない筈のUPnPでポートが開けられていないかを確認する
UPnPの情報を表示するには以下のコマンドを発行します。
"show status upnp"
※いずれの場合においても、意図しないポートマッピングが存在するなどUPnPの動作や状態に不信な点があれば直ちにUPnP機能を無効に設定してください。
参考情報
更新情報
- 2008/06/25
- IP38Xシリーズの (対策1)対策済みファームウェアへのリビジョンアップ を 「IP38X/58i(Rev,9.01.29)、IP38X/57i(Rev.8.00.83)につきましてはすでにリリース済み。」 から 「IP38X/58i(Rev,9.01.33)につきましてはすでにリリース済み。」 に訂正
- 2008/06/23
- 新規登録しました。