NURO光のHuawei製ONU「HG8045Q」に権限昇格の脆弱性、修正予定はなし 61
うーむ 部門より
IT系ニュースサイトのGIGAZINEによると、NURO光加入者に貸与されるHuawei製のONU兼無線LANルータ「EchoLife HG8045Q」には権限昇格が可能な脆弱性が存在するという(NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能 — GIGAZINE)。
GIGAZINEの公開した再現手順では2つの脆弱性が利用されている。1つ目は今年9月に博士研究者であるAlex Orsholits氏が発見したマスターアカウントの資格情報がハードコードされている問題(meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q)、2つ目はGIGAZINE編集部(log1n_yi氏)が独自に発見した入力値検証の不備に起因する権限昇格の問題だ。
マスターアカウントというのは、ISPが加入者に貸与しているONUの設定を変更するために利用する特権アカウントのことで、ウェブ管理画面からマスターアカウントを用いてログインすると、通常は制限されている様々な機能が利用できる。NURO光のONUでは一体不可分のルータ機能を無効化するためこの手のハックに需要があり、Alex氏はNANDから吸い出したダンプから、マスターアカウントのIDが「admin_iksyomuac13」であること、そしてパスワードがハードコードされた文字列「iksyomuac13_admin_」に機器固有のMACアドレスのサフィックス4文字を付け足したものであることを発見していた。
更にこれを用いてSSHログインすると、Huawei製のネットワーク機器特有の「WAP」というシェルで特定のコマンドを実行できる。マスターアカウントであっても通常はごく限られたコマンドしか実行できないが、log1n_yi氏がシェルスクリプトを調査した結果、pingコマンドの後ろに「大量の文字列」「"」「> |」「実行したいBusyBoxコマンド」を入力することで、BusyBoxに実装されたコマンドをroot権限で実行できることを発見したという。
NURO光提供側にこの脆弱性を報告したところ、1か月ほど放置された挙句、修正予定が「あり」から「なし」に変わったという。問題の機器ではWAN側のSSHポートは閉じられているため、直ちに外部から不正なアクセスをされるわけではないというのが理由のようだ。逆に言えば、内部からアクセス可能な場所――例えば公共施設や商業施設などでネットワークを訪問者に開放している場合は注意が必要になりそうだ。
GIGAZINEではNURO光がバグ報奨金プログラムを用意していない点にも触れ、「脆弱性に対する窓口対応の弱さが目立ちました」と結んでいる。
何を今更 (スコア:2, 興味深い)
>Huawei製のONU兼無線LANルータ「EchoLife HG8045Q」には権限昇格が可能な脆弱性が存在するという
ZTEのONUも同じパスワードが使えるんで、NURO光が保守用に指定してるんじゃないかな?
9月にこれが発表されたときは祭りでしたよ。
なんせNURO光のONUは意図的に機能制限が加えられてるもんですから。
これ塞いでも良いけど、それなら純粋なONU出してほしい。
Re: (スコア:0)
zteの方知らないんですが具体的にどんなのですか。
Re:何を今更 (スコア:1)
https://twitter.com/YuukiJapanTech/status/1321535870114000896 [twitter.com]
具体的な手順は伏せられてるけどSMBがrootで動いてるのを利用してるのかな。
ただ、ZTE製品には元々ブリッジモードがないのでルータ機能を無効化するには至ってないとか。
Re: (スコア:0)
こうなると本当にNSD-G1000Tなら大丈夫なのか不安になってくるな
Re: (スコア:0)
そこに書いてあるでしょ。HUAWEIと一緒。
ID: admin_iksyomuac13
PW: iksyomuac13_admin_XXXX (XXXXはPONのMACアドレス末尾)
Web管理画面もtelnetも使えるから
Re: (スコア:0)
ZTE機はweb管理画面へのログイン画面だとダメでした。
SSHだけなのかな。
Re: (スコア:0)
ありがとう。
ログインid共通なんですね。メーカー違うのに(笑)
メーカー違うのに。。。
Re: (スコア:0)
最近は台湾製のONUにソニーのロゴくっ付けたのを出してますよ
Re: (スコア:0)
何時の間に天下のソニーがエレコムみたいなことを。
Re:何を今更 (スコア:1)
「金輪際Huawei製ONUは採用しない」と言わないといけない。
Re: (スコア:0)
えっ「金輪際GPLのソフトウェアは採用しない」と言ってWindows 10 IoT Enterprise LTSC採用のルーター投入じゃないの
Re: (スコア:0)
CATVのモデムだって、加入者の課金グレードによって、意図的に機能制限されてますよ。
フレッツやCATVのように、最初に網側に接続するときに、網側からONU設定ファイルをダウンロードするようにすればいいけれど、それだとコスト増になっちゃいますし。
Re: (スコア:0)
課金に応じて機能開放してくれるんだったらそれでもいいよ。元ACも「タダで」とは言ってないでしょ。現状、公式にはそもそも選択の余地がない。
JP-CERT/CCを知らないのか (スコア:0)
JP-CERT/CC [jpcert.or.jp]に連絡しようともしてない時点で、うーむ。
Re:JP-CERT/CCを知らないのか (スコア:4, 参考になる)
Twitterでも勘違いしてる人いましたけど、脆弱性報告の窓口になっているのはIPA(情報処理推進機構) [ipa.go.jp]です。そこから調整機関であるJPCERT/CCが対象企業にコンタクトを取る形になっています。
ただ、近年は脆弱性報告に対する社会の認知が改善されてきた(犯罪者扱いされたりしない)ことや、大量の報告でJPCERT/CCがパンクしそうになったこともあり、可能であれば発見者が直接対象企業に報告することを推奨する方向に変わってきています。今回はNUROテクニカルセンター経由で報告できているので、結果的にIPAやJPCERT/CCを通じた報告は必要なかったと思います。
ちょっと引っ掛かるのが、真っ先にHackerOneを確認して、Huawei's Vulnerability Disclosure Policy [hackerone.com]を見て諦めている所ですね。Sony - Vulnerability Disclosure Program [hackerone.com]も用意されていて、記事にはスクリーンショットも載っているのですが、対応する文章がありません。脆弱性報告に関しては素人っぽさを感じるのは確かです。
Re:JP-CERT/CCを知らないのか (スコア:1)
IPAは岡ちゃん事件があってから関わりたくない、近づきたくない組織なんで
Re:JP-CERT/CCを知らないのか (スコア:1)
それな。IPA, JPCERTがセキュアであるって保証はどこにもない。
Re: (スコア:0)
そういう態度は脆弱性報告のお作法を知らない素人は脆弱性見つけても報告しないで黙っておけという風潮を作ることになって誰も得しないんじゃないの。
Re: (スコア:0)
元コメはNURO光なのかGIGAZINEなのかどっちのことを言ってるのかわかんない。
IT系ニュースサイト? (スコア:0, 荒らし)
CEDEC 2012で騒ぎ起こしたり
編集部員全員解雇したり
身内の土地強奪され掛けてたりと
炎上系サイトだと思ってましたわ
Re:IT系ニュースサイト? (スコア:1)
Gigazineてアダルトサイトばりに広告踏ませてきて、あれもう記事の内容読ませる気ないですよね。
Re: (スコア:0)
広告ブロック系ツールの紹介記事をたくさん書いているようなので、
メインの読者は広告ブロック済みという想定なのでは?
たまに来る一見さんから、最大限広告費を回収したいのでしょう
Re: (スコア:0)
最近は「広告ブロッカーをご利用の方へ」と言ったバナー?が毎回表示されますね
閉じれますけど、以前は一日一回だったのが今はページ移る毎に出る。
提灯記事は構わないんだけど、動くウザイ広告がいやなのでブロッカーはとめられない
Re: (スコア:0)
そのバナーみたいなものすら広告ブロックされてて見たことすらないわ
Re: (スコア:0)
そんなにひどいのかと思って広告ブロッカー無効にしてみたけど普通やないか。
Re: (スコア:0)
報奨金くれなさそうだから晒し記事書いたったwww
ってことでしょ
Re: (スコア:0)
>NURO光提供側にこの脆弱性を報告したところ、1か月ほど放置された挙句、修正予定が「あり」から「なし」に変わったという
おまえらって脊髄反射の上にまず悪意が先に立つよな。
Re:IT系ニュースサイト? (スコア:1)
> NURO光提供側にこの脆弱性を報告したところ、1か月ほど放置された挙句、修正予定が「あり」から「なし」に変わったという。
Gigazineには、「修正予定が「あり」から「なし」に変わった」なんて書かれてないよね。
>・2020年11月5日:NURO光から折り返しの電話あり、コールセンター責任者は「脆弱性を対応する」との返答
>・2020年11月9日:NURO光から再び折り返しの電話あり、11月5日と同じ責任者から「NURO側から正式に『脆弱性は修正しない』という回答があった」との返答
脆弱性に対応するってのは、脆弱性を修正する、とイコールではない。
脆弱性の扱いを検討するってことだ。
検討の結果、修正しないと決定した。ビジネスでは、何かをすることも決定だが、何かをしないと決めることも意思決定だ。
> コールセンター責任者は「脆弱性を対応する」との返答
タレコミ者が、これを「修正する」と読み取ったのであれば、それはオトナ語の経験値不足。
Re: (スコア:0, すばらしい洞察)
なぜそんなどうでもいいことに食いついてるのか理解に苦しむ。
Gigazineは脆弱性を報告してるのに、報奨金くれなさそうだから晒し記事書いたなんて下衆いこと書き散らかしてるのが問題。
修正しないなら公にするのは他の脆弱性でも普通にやってることで、責められるような手順ではない。
Re: (スコア:0)
タレ子です。そこはおっしゃるとおりなので次は気を付けまする。
Re: (スコア:0)
Gigazineの一体どこが炎上系?
黙らせたい人がいるのかな。
不都合な真実?
ユーザー側置く機器のファーム更新 (スコア:0)
実施するのは難しそうだけれども、NTTとか他の業者はどうやって実施してるのだろう?
Re: (スコア:0)
ファーム更新は普通に特定のサイトにアクセスして更新ファイルがあるかどうかチェックしてやってますよ
Re: (スコア:0)
アップデートに失敗していつの間にか文鎮化してたなんて事故も稀にあるのかな?
Re: (スコア:0)
ありますよ。だけどレンタルなので事業者の責任で交換して終わり。
Re: (スコア:0)
NUROでZTEのルータ使ってるけど、なんかファーム更新用のドメインのURLを踏んでるみたい。
#ドメイン名が管理画面から見えるのはお粗末だなぁと、これも直す予定無さそうだけどw
Re: (スコア:0)
GIGAZINEには「NURO光側が管理時に使用するアカウント」って書かれてるけど本当かな。リモートからアクセスできなければ管理にも使えないと思うんだけど。NURO光網内の特定のIPアドレスに対してだけ開放されてるのかな
Re: (スコア:0)
別にリモート管理だけが管理の全てじゃないので……キッティングやプロビジョニング、宅内工事、あるいはONU配下のNAT越えできる機器を経由してWeb UIやSSHを叩くといった使い方もできますし。
実際に使用しているかはともかく、メーカーが各国のISP向けに用意している枠組みなので、「NURO光側が管理時に使用するアカウント」と表現するのはおかしくないでしょう。
NURO光以外で貸し出されているHG8045Qは? (スコア:0)
光化したCATV局で、HG8045Qを採用している局が複数あります。
今回の話は、GIGAZINEはNURO光が貸し出している個体のみ、GitHubはNURO光貸出とどこからか調達した2つの個体を調査し、他のCATV局で貸し出されているHG8045Qの状況は不明、という事でよろしいでしょうか?
Re: (スコア:0)
このコメント [srad.jp]通りなら、NURO光が独自に加えた改変ということだからそうなるね。ONUの機種がHuawei製だからと言ってあわてて交換を申し出る必要はなさそう。利用者都合でのONUの交換は1回しかできないみたいだし
Re: (スコア:0)
NUROは3種類のルーターがあって、ファーウェイとZTEはハズレ
ホームセキュリティ機能を追加すると違ったONUに変わるみたいだよ
Re:NURO光以外で貸し出されているHG8045Qは? (スコア:1)
HuaweiとZTE以外にあったっけ? と調べてみたところ、いつの間にか増えていた
https://www.nuro.jp/device.html [www.nuro.jp]
FG4023Bが台湾のSercomm
NSD-G1000TはSONY製らしいが新規契約時に「スマートセット」を申し込んだ客のみ、
SGP200WはSynclayer製ということになっているがHuaweiのOEMらしい(たとえばサポートページ [sonynetwork.co.jp]ではHuaweiと一緒くたになってる)
Re: (スコア:0)
ホームセットに申し込めばNSD-G1000TになるのでZTEもHUAWEIも排除出来る
現在契約中の人でもホームセットを申し込めば、NSD-G1000Tに変更になるので回避は可能
NURO契約者がこうした行動をする事でNURO全体のセキュリティ意識が上がるので変更すべきだと思うな
Re: (スコア:0)
現在契約中の人でもホームセットを申し込めば、NSD-G1000Tに変更になるので回避は可能
NURO契約者がこうした行動をする事でNURO全体のセキュリティ意識が上がるので変更すべきだと思うな
わざわざ有料プランに変更せんでも
ゼロデイの脆弱性ってニュースソース貼ったルーター交換申請を
サポートに投げれば動かざるを得ないんじゃないかな
拒否ったらそれこそ傷口大きくなりかねんのだし
# まぁ依頼件数にもよるだろうけども
ネトウヨたち (スコア:0, フレームのもと)
必死にGIGAZINEに噛み付いてるな
Re: (スコア:0)
Huawei擁護する奴らまでとうとうネトウヨにw
Re: (スコア:0)
日本人の7〜8割はネトウヨだからしゃーない。
Re: (スコア:0)
日本人のほとんどは在日
Re: (スコア:0)
つまり在日日本人?そりゃほとんどみんなそうでしょうな。
Re: (スコア:0)
在日じゃない人も意外にいるみたいですよ。
https://www.mofa.go.jp/mofaj/toko/page22_000043.html [mofa.go.jp]