Check Point Software Technologiesは8月1日(米国時間)、「Over 20,000 Ubiquiti Cameras and Routers are Vulnerable to Amplification Attacks and Privacy Risks - Check Point Blog」において、Ubiquitiの無線ネットワークカメラ「G4 Instant Camera」から古い脆弱性「CVE-2017-0938」の再発を確認したと報じた。この脆弱性を悪用されると、分散リフレクションサービス運用妨害(DRDoS: Distributed Reflection Denial of Service)が可能とされる。

  • Over 20、000 Ubiquiti Cameras and Routers are Vulnerable to Amplification Attacks and Privacy Risks - Check Point Blog

    Over 20,000 Ubiquiti Cameras and Routers are Vulnerable to Amplification Attacks and Privacy Risks - Check Point Blog

脆弱性の概要

Check Pointは当該製品の安全性評価のため通信ポートの調査を行ったところ、SSH(Secure SHell)、管理用Webサーバ、UDP ポート10001、UDPポート7004が公開されていることを確認したという。これらポートのうちUDP ポート10001が統合デバイス管理端末「CloudKey+」と定期的に通信しており、通信内容の分析から脆弱性を発見したとしている。

発見された脆弱性はUbiquitiの古い製品から発見された「CVE-2017-0938」と同じとされる。Ubiquitiの製品はネットワークに検出パケット(リクエスト)を送信し、その応答を得ることでデバイスの存在を自動的に検出する。このときデバイスは検出パケットの認証やアクセス制限をしない。この無制限の応答がセキュリティ脆弱性となる。

攻撃者がIPスプーフィング(送信元アドレスの偽装)を行い検出パケットを送信すると、デバイスは第三者に対して情報を応答してしまう。また、検出パケットに対してレスポンスパケットの方がデータ量が多いため、増幅型のリフレクションサービス運用妨害が可能になる。

脆弱性の影響

Check Pointの調査によると、インターネット上には20,000台以上の脆弱なUbiquitiデバイスが存在するという。これは、検出パケットを無作為に送信し、その応答を得ることで確認している。なお、発見された脆弱なデバイスには、G4 Instant Camera以外の古いデバイスが含まれる可能性がある。

対策

UbiquitiはCheck Pointからの問い合わせに対し、最新のファームウェアで対策したと回答。最新のファームウェアでは、内部IPアドレスからの検出パケットにのみ応答する。

Ubiquitiの製品を運用している管理者にはファームウェアのバージョンを確認し、最新版にアップデートすることが推奨されている。また、可能であれば自動更新を有効にし、デバイスをファイアウォールの内側で運用することが望まれている。