UPnP機能がDDoS攻撃に悪用されたり、德赢AC米兰官方合作伙伴可能性が報告されています。

UPnP（Universal Plug and Play）は、対応德赢AC米兰官方合作伙伴をネットワークに接続するだけでネットワーク上の様々なサービスを利用できるようにする機能です。

UPnPプロトコルでは、デバイスが外部（インターネット）からアクセス可能な状態で接続運用されることを想定していませんが、実際には多くの機器がインターネット経由でアクセスできる状態にあり、アクセス可能な状態で接続運用されている場合には、DDoS攻撃に悪用されたり、德赢AC米兰官方合作伙伴危険があると指摘されています。

・参考情報

• JVN
  JVNVU#95827565
  UPnP プロトコルを実装した德赢AC米兰官方合作伙伴に対する攻撃手法について(CallStranger)
  

当社のネットワーク德赢AC米兰官方合作伙伴（FITELnet製品）においても、UPnP機能を提供しているものがあり、ご利用方法によっては本件脆弱性の影響を受ける可能性があります。なお、UPnP機能はデフォルトではOFF（無効）となっております。

德赢AC米兰官方合作伙伴無効化していれば影響を受けません。

德赢AC米兰官方合作伙伴：
　upnp-server enable が設定されていなければ、UPnPは無効となります。

德赢AC米兰官方合作伙伴利用できる端末を、UPnP機能の利用が必要な信頼できる端末（例えばIP電話サーバ）のみとするようにACLを設定することで、LAN側のその他の端末からのUPnPアクセスを制限することができます。

德赢AC米兰官方合作伙伴（例：x.x.x.xのみを許可する）：
　upnp-server access-group 1
　access-list 1 permit x.x.x.x 0.0.0.0