ロジテック製ルーターの脆弱性の推測とIoTウイルスMirai - 名探偵アルパカ

2018/03/01 (Thu) 02:02:15

昨年この掲示板でも大騒ぎだったロジテック製ルーターの脆弱性問題

ルーターが恐らくWANから乗っ取られDNS設定を改ざんされた事件

IoTウイルスMiraiの猛威とも相まって、どういう仕組みで乗っ取られるのか謎であった

http://www.itmedia.co.jp/news/articles/1802/21/news034_2.html

↑でも『機器がインターネットからオープンにアクセスできる状態になっており、かつ容易に推測可能な、あるいは公になっているIDとパスワードが設定されていたことです』とあるだけで、どこから入ってきたのか説明していないし、ロジテックのルーターについても脆弱性情報を公式には公表していなかった

ロジテック製ルーターの脆弱性についての結論

https://internet.watch.impress.co.jp/docs/news/1097777.html

推測ですが、ほぼ正しいだろうとの結論に至ったのは

UPnPのバージョンが古くSSDPポートがデフォルトでオープンになっておりルーターの設定画面にまで到達した、です

SSDPとは簡単に言うと、インターネットに接続した機器の存在確認を行うサービスのこと

SSDPを有効にしていないと、外出先からブルーレイレコーダーの予約を行う、といった作業を行えません

詳しくは↓を熟読

http://wa3.i-3-i.info/word12619.html

で、 SSDPの使うポート番号 UDP 1900がデフォルトでオープンになっていた

http://did2memo.net/2013/01/30/upnp-libupnp-vulnerability/#i-7

つまりルーターやIoT機器乗っ取りの仕組みは

WANからルーターの取得したグローバルIPアドレス+ルーター自身のIPアドレス(192.168.1.1等)のUDP 1900にリクエストを送って返信があるか確認する

脆弱性のあるルーターは簡単にお返事するから、後はデフォルトのIDとパスワードで陥落

つまりルーターやIoT機器乗っ取りの仕組みは

WANからルーターの取得したグローバルIPアドレス+ルーター自身のIPアドレス(192.168.1.1等)のUDP 1900にリクエストを送って返信があるか確認する

脆弱性のあるルーターは簡単にお返事するから、後はデフォルトのIDとパスワードで陥落

なので、ロジテックの場合はSSDPがデフォルトでオープンになっていたから簡単に陥落したと推測します

現在のルーターはSSDPの脆弱性が存在していませんし、 SPIを有効にしていれば、 SSDPにリクエストが送られても遮断するはずですから、基本的にはWANからの乗っ取りのは心配無用と思いますが、外出先からブルーレイを予約するみたいな使い方をしないのであれば、インバウンドのUDP 1900を遮断すればMirai対策になると思います