ニュース

UPnPのオープンソースライブラリに脆弱性、数千万台に影響

 米US-CERTは29日、UPnPのオープンソースライブラリ「libupnp」に複数の脆弱性が存在し、libupnpを使用している多数の機器が外部から攻撃を受ける可能性があると警告した。

 脆弱性は、セキュリティ企業のRapid7が実施した調査で発見されたもの。libupnpのSSDPの実装にバッファオーバーフローの脆弱性が複数存在し、libupnpを利用している機器がWAN側インターフェイスからの攻撃も受け入れてしまう可能性があるという。

 さらに、Rapid7の調査では、libupnpは200社以上の製品に採用されており、影響は数千万台規模に上ると指摘。libupnpの開発プロジェクトでは、脆弱性を修正したバージョン1.6.18を公開しているが、各製品のファームウェアアップデートなどには時間がかかり、古い製品などではアップデートが提供されないことも考えられると指摘している。

 US-CERTでは、製品ベンダーに対してはlibupnpを最新版にアップデートすることを求めるとともに、ファイアウォールで信頼できないホストからのUDP 1900番ポートをブロックすることや、不必要であればUPnPの機能を無効にすることを対策として挙げている。

(三柳 英樹)