「Wi-Fiの検査」で、ルーターの脆弱性が発見されました。誤検知なのか判別がつきません

system · 2017-07-26T21:20:47.000Z

はじめまして。突然ですが、こちらの掲示板お借りして質問をさせてください.

先日、Avast Free Antivirusに搭載されている「Wi-Fiの検査」の機能を使用しました。
その結果、次の結果が出ました。

カタログ ID CVE-2013-0229
リスク
攻撃者はこの脆弱性を悪用して、デバイスの通常の動作を阻害し、無反応な状態にできてしまいます。

解決策
可能であればデバイスのファームウェアをアップグレードしましょう。
ルーター設定を開く

カタログ ID CVE-2013-0230

リスク
攻撃者はこのデバイスで任意のコードを実行できてしまいます。
攻撃者はデバイスのシステムを完全に制御することができてしまいます。

解決策
可能であればデバイスのファームウェアをアップグレードしましょう。

Google検索をしてみたところ、いずれも2013年頃に確認されたUPnP機能に関する脆弱性であることがわかりました。

ただ、私が使用しているWi-Fiルーターは、メーカーが配布している最新のファームウェアにアップデートをしています。
また、ルーターは同じ設定でずっと使用していますが、今年の３月に当時最新版のAvastで同様のWi-Fi検査を行った際には、特に異常は出ていませんでした。
もしかすると、６月以降のAvastのバージョンアップに、何らかの原因があるのかもしれないと思っています。

Avast側に、上記の内容も含め「Wi-Fiの検査での誤検知」に関する報告を送りたいのですが、このような報告は受け付けられるのでしょうか？
ただ、そもそも誤検知なのかどうかも、私には確たる判断は出来ないのですが…。
また、仮にISPの終端装置とPCの間にWi-Fiルーターがあったとしても、Avast側では、Wi-Fiルーターと同様に終端装置の脆弱性等も検知可能なのでしょうか？

私の環境ですが…
ISPの終端装置→LANケーブル→Wi-Fiルーター→無線→PC
Wi-Fiルーターは、NEC製WR8165Nです。ファームウェアは、最新版にアップデート済みです。
AvastWi-Fi検査の結果通知後に、ルーター本体の完全リセットを実施済み。その後の結果でも、上記のように結果が出続けます。
使用しているAvast Free AntiVirusは、17.5.2303です。

よろしくお願いします。

NON · 2017-07-27T12:54:17.000Z

こんばんは tangotarou さん

類似の質問が先月にも寄せられています。
私の見る限りでは、以下の先月の事例は誤認識の可能性が高いと思うのですが、確証は取れていません。

Wi-Fi の検査で「デバイスが正しく設定されていません。」と検出されることについて
https://forum.avast.com/index.php?topic=203347.0

今回の件についても、問題の機種WR8165Nのライセンス情報を見る限り、明示されていないので推測とはなりますが、問題の脆弱性2件は存在しないように見えます。
(問題の脆弱性は2013年発見ですが、2009年には解消されているもので、当該機種で使用されている下記ライセンスに2011年の記載があることから、それ以前のバージョンではありえないと推測します)

機能詳細ガイド商標とライセンスについて
http://www.aterm.jp/function/wr8165n/guide/model/wr8165n/n/copyright.html

Avast に問い合わせてみたところ、確かにここ数か月の間に脆弱性の検知ロジックが追加されたとのことで、それにより検知されるようになったのは確かなようです。

tangotarou post:1:

Avast側に、上記の内容も含め「Wi-Fiの検査での誤検知」に関する報告を送りたいのですが、このような報告は受け付けられるのでしょうか？
ただ、そもそも誤検知なのかどうかも、私には確たる判断は出来ないのですが…。

英語版フォーラムの方に投稿いただければ、あるいは開発陣の目に留まるかもしれません。
私が先月に過去事例を受けて投稿した時は、「Avast は悪くない」と主張するいつもの常連ユーザーの方に潰されてしまいましたが・・・。
今回は別ルートから問い合わせているので、そちらが奏功することを期待しています。

[b]また、仮にISPの終端装置とPCの間にWi-Fiルーターがあったとしても、Avast側では、Wi-Fiルーターと同様に終端装置の脆弱性等も検知可能なのでしょうか？[/b]

Wi-Fi ルータがブリッジモードであれば、通信はWi-Fiルータを実質素通りすることになりますので、回線終端装置側の脆弱性が検知されることになるかと思います。ルータモードの場合、基本的にはAvast のスキャンが及ぶのはルータまでとなります。

NON · 2017-07-27T15:38:30.000Z

Avast の開発陣から、以下のツールを使って実機でバージョンを確認してみるよう勧められました。

nmap
https://nmap.org/download.html

簡単ですが、私の環境で試した限りでは次の手順となるようです。

[ol]- インストーラーでnmap を導入する

nmap を起動する
コマンド欄に nmap -sU -p1900 --script=broadcast-upnp-info -n (ルータのIPアドレスを記入) と入力する
「スキャン」を押す[/ol]

で結果が返ってきます。うまく行けば、miniupnpd のバージョン情報が返ってくるはずです。
エラーが起きる場合は、別途WinPCap (http://www.winpcap.org) の導入が必要かもしれません。

system · 2017-07-28T12:40:39.000Z

NONさん
はじめまして。こんばんは。
アドバイスをいただきまして、ありがとうございます。

まずは、スキャン結果で表示された脆弱性は、私のWiFiルーターには存在する可能性が低いことがわかり、安心しました。
また早速、明日にも教えていただいたツールを使って、Wi-FiルーターのUPnPに関する部分のバージョンを確認することにします。

ツールでのバージョン確認の結果も含めて、NONさんのご指摘のように、英語版フォーラムに直接スレッドを投稿してみることにもします。
まずは、お礼とご報告として取り急ぎ書き込みをお送りします。

引き続き、よろしくお願いします。

system · 2017-07-30T02:04:02.000Z

NONさん

いただいたアドバイスのとおりに、ひとまず英語版フォーラムにトピックを投稿しました。
こちらです→https://forum.avast.com/index.php?topic=206428.0

その後、いくつか追記すべきことが出てきたので、補足します。

先日、こちらに投稿する前にNECのサポートへ問い合わせていたのですが、その際の返答は

「現在見つかっているいくらかの「脆弱性」の再現条件などに対して、実際にAterm製品を介す環境での問題の事例はない。可能性としては否定できない。個々の環境の違いが大きいので、質問に対するお答えはできない。」（要旨のみ）

との内容でした。返答内容を投稿しようかどうか迷っていたのですが、やはり書いておくことにしました。

教えていただいた方法で、nmapを利用してルーターをスキャンしました。すると、次の結果が得られました。

Webserver: miniupnpd/1.0 UPnP/1.0
PORT STATE SERVICE
1900/ udp open|filterd upnp

2度スキャンしましたが、いずれも同じでした。

脆弱性データベースのページ（ http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001350.html と http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001349.html ）によれば、nmapでスキャンした際に示された「MiniUPnPd 1.0」だと、脆弱性の影響を受けることになります。

ただ、私のルーターのファームウェアは、2016年3月に最新バージョンが公開されていますので、なぜ古い脆弱性の影響を受けるUPnP関連のプログラムがそのままなのか、わかりません。
私がnmapでスキャンする際の手順に誤りがあったのか、それともルーター側にバージョンの古いプログラムがあるのか、私にはわかりかねますが、いずれにせよ困惑しています。

以上です。

NON · 2017-07-30T08:25:20.000Z

tangotarou post:5:

Webserver: miniupnpd/1.0 UPnP/1.0
PORT STATE SERVICE
1900/ udp open|filterd upnp

どうやらMiniUPnPd はアップデートされていないようですね。バージョン1.0だと、検知された脆弱性2件はそのまま当てはまることになります。
ライセンス情報は2011年でしたが、実際に使われているのはもっと古いバージョンだったと言うことでしょう。

tangotarou post:5:

先日、こちらに投稿する前にNECのサポートへ問い合わせていたのですが、その際の返答は

「現在見つかっているいくらかの「脆弱性」の再現条件などに対して、実際にAterm製品を介す環境での問題の事例はない。可能性としては否定できない。個々の環境の違いが大きいので、質問に対するお答えはできない。」（要旨のみ）
との内容でした。

ただ、私のルーターのファームウェアは、2016年3月に最新バージョンが公開されていますので、なぜ古い脆弱性の影響を受けるUPnP関連のプログラムがそのままなのか、わかりません。

単純に言えば、メーカーが更新をさぼっているということになります。 NEC 側のコメントを見る限り、例えば「インターネット側からでは該当するサービスにアクセスできないので、影響は小さいと判断している」とか、あるいはそういった理由はあるのかもしれません。この辺の更新がいい加減なのは、日本のメーカーはどこも似たり寄ったりと言えばそうですが・・・。

いずれにせよ、ルータ内部のライブラリの話なので、ユーザー側ではどうしようもないので、メーカーの更新を待つしかありません。
ルーターの設定でUPnP を無効にすれば、気休めにはなるかもしれません。

system · 2017-08-03T10:51:46.000Z

NONさん

こんばんは。ご意見をいただきありがとうございます。

お書きのように、メーカーがファームウェアを更新してルーターの脆弱性が解決されないかぎり、ユーザー側では対策のしようがないというのは残念ですね。
先日にこちらに書いたメーカーサポートの方からの返答でも、「数年前のような古い製品については、買い替えをご検討されるのも対策」という旨が記載されていました。

今回の製品は、たしかに新しい製品ではないものの、ファームウェアのアップデート自体はつい昨年も配信されているので、てっきりUPnP関連のライブラリもアップデートされているものだと勘違いしていました…

ルーター側で設定できるUPnPの機能自体は、使用開始当初よりオフにしているので、脆弱性を気にするとなると、あとは買い換えることを真剣に検討するしかなさそうです。

この度は、NONさんにはご親切な対応をしていただき、ありがとうございました。

NON · 2017-08-04T12:54:21.000Z

tangotarou post:7:

今回の製品は、たしかに新しい製品ではないものの、ファームウェアのアップデート自体はつい昨年も配信されているので、てっきりUPnP関連のライブラリもアップデートされているものだと勘違いしていました…

普通はそう思います。私が当初脆弱性を否定することを書いたのも、さすがに10年近く前のライブラリを放置はしないだろう、と言う推測（期待ともいう）からでした。
極論すれば、新製品でも直っている保証は無いわけで・・・。

一つメーカーを擁護すれば、一部の脆弱性を除き、大半の脆弱性は、インターネット側から直接攻撃されることはありません。
それは、多くのルータは、インターネット側からの通信の大半を弾く設定になっているからです。
そこに穴があって、インターネット側から攻撃されてしまうというダメなルータもたまにありますが、そうでなければ、脆弱性があるからと言ってインターネット側から操り放題、という訳ではないことは申し上げておきます。

何らかの理由で内部への侵入を許した場合には、致命的な問題となりうるわけなので、直すに越したことは無いのですが。

Announcements