ユニバーサルプラグアンドプレイ(UPnP)は、ネットワークデバイスがネットワーク上で互いの存在をシームレスに検出し接続を確立できるようにするための機能であり、多くのルータがオプションとしてサポートしている。しかしこのUPnPが、場合によってはセキュリティ上の弱点になる危険性がある。
Akamai Technologiesの研究者は、公式ブログ上でUPnPの脆弱性を悪用してルータを侵害する「Eternal Silence」キャンペーンについて警告している。このキャンペーンでは、攻撃者は対象のルータのNATテーブルを不正に書き換えることでプロキシサーバ化し、さまざまな悪意のあるアクティビティを実行に悪用するという。
-
UPnProxy: Eternal Silence
Akamaiのレポートでは、Eternal Silenceを実施している脅威アクターは、UPnPルータを侵害した後に、「EternalBlue(CVE-2017-0144)」と「EternalRed(CVE-2017-7494)」と呼ばれる2つの脆弱性を悪用してWindowsおよびLinuxシステムを攻撃する目的でこのキャンペーンを実施している可能性があると推測されている。これらの脆弱性は、いずれもSambaにおけるリモートコード実行の脆弱性である。
もしEternalBlueやEternalRedに対するパッチが適用されていないマシンでも、インターネットに直接公開されていなければ大きな危険はない。しかし、Eternal Silence攻撃によってルータが侵害され、NATに対して不正なエントリが追加されている場合、この安全性は完全に崩壊する。
Akamaiの研究者は、Eternal Silence攻撃の厄介な点として、悪意のあるNATエントリの追加を検出するのが極めて困難なことを挙げている。侵害されたルータではNATの可視性が欠如しているため、検出するにはUPnPツールセットやデバイススキャンなどを利用して注意深く検査する必要があるからだという。
また、すでにデバイスがEternal Silenceによって危険にさらされている場合は、UPnPを無効にするだけでは既存のNATエントリが削除されない可能性があるため、デバイスのリセットまたはフラッシュが必要になると指摘されている。
Akamaiの研究者は2018年11月に最初にEternal Silenceに関する記事を公開しているが、2022年1月27日に記事をアップデートして再びこのキャンペーンについて警告した。
