2014/10末にセキュリティ機関より、NAT-PMPを実装している複数のデバイスに外部から情報を取得されたり、ポートマッピング設定を操作されたりする脆弱性の問題が報告されています。
NAT-PMP(NAT Port Mapping Protocol/ RFC6886) は、LAN側に接続されている機器からのリクエストに基づきアドレス及びポートのマッピングを自動的に行うためのプロトコルとなっていますが、Cisco 製品にてサポートされているPATのポートマッピング機能とは異なるものとなり、Cisco IOS製品、およびASA製品において、NAT-PMPの機能は、実装しておりません。
このため、 上記、NAT-PMP 脆弱性の問題については、影響を受けることはございません。
PATポートマッピング機能とNAT-PMPの違いについて
PAT(オーバーロード)は、Cisco IOS のNATの 1つの機能で、(Insideローカル)プライベートアドレスを 1つまたは、複数のIPアドレスに変換するために使用できます。各変換では、カンバセーションを区別するために、一意の送信元ポート番号が使用されます。
NAT-PMP は、NAT デバイスと LAN 側ホストとの間でアドレス/ポートマッピングリクエストのやりとりを行うためのプロトコルです。
RFC 6886において、WAN側のポートに送信されたマッピングリクエストは破棄される必要があることが記載されています。