NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
■ このスレッドは過去ログ倉庫に格納されています
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。
https://gigazine.net/news/20201128-nuro-onu-vulnerablity/ ひでえw
・特定されたアカウントはNURO光の管理者アカウントだが、直ちに外部から不正なアクセスをされるわけではないので修正などの対応はしない
・管理者アカウントを利用して不具合が発生しても、NURO光側としては一切のサポートはしない
・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
・2020年10月19日にアナウンスしたファームウェアアップデートでも、脆弱性の修正は行っていない
……というわけで、NURO光は今回の脆弱性については「一切関知しない」という姿勢のようです。 製造がファーウェイな時点で意図的なセキュリティホールじゃねぇか ルーターにランサムウェアとおもちゃのほうにマルウェアとバックドアで完璧だなw >Huawei製の「HG8045Q」となっています
あ、はい。 これヤバ過ぎだろ…やっぱりソニーなんか使うんじゃなかった… NURO10月に電話したのにまだ開通しねぇ…
そのうえこれかよ… > 脆弱性が報告されているのはHuawei製の「HG8045Q」
ファーウェイを使ってるんだから残当。 >>12
やめとけ。俺は半年かかって工事日も調整し宅内工事終わった後
さらに2ヶ月待たされた挙句最終的に無理って言われた
サポート電話つながるのに一時間待ち当たり前だし本当にクソだぞ やっぱりそうだったか
NURO回避しといて正解だったな
つーかこんなもん承知で使っていただろ、ソニー ベストエフォート1.3G()これでレンタル料とか馬鹿らしいよな
指向性ビームフォーミングでMU-MIMOとかじゃないんだ・・・w
さすがはカタログ詐欺のチョニー これホントに今ソニーなの?
なんか最初は中国発じゃなかったっけ
伊武雅刀のナレーションの頃とか 工事がまともに進まない事例があまりに多すぎるからやめたわ
auひかりなんか申し込みから二週間で開通したのに
客バカにしすぎだろwニューロの工事待ってる間に一家が一軒建つわw
ソニー製品は絶対買わないと決めた ソニーの癖にファーウェイ製とか使うんじゃねえよw
プライドとかねえのか 工事関係でもめたって話あったが結局どうなったんだろう >>19
そういう話さんざん読んでたから親が引きたいといったときもそういう事例を教えてやめとけばと言った
そしたらなぜか申込みからサクサク2週間で開通してしまい俺がネットに踊らされてるバカみたいな扱いになっててかなしい
まあ俺んちは使えないし今のKDDIで不満ないから申し込まないけど >>12
なんで電話なの?
Webで自分で工事日の予約したら申し込みからすぐだったけどな?
屋外宅内どっちも ソニーネットワークコミュニケーションズで自前回線なわけないし
結局は一緒かもな() >>19
一時間待ち?早いな
俺は2時間待たされたぞwいつ何時にかけてもろくに繋がらないから意地で待った
ようやく出てきたのはテンプレ3パターンしか答えないクソ対応w
項目ごとに問い合わせ電話番号違うし公表してない番号ばっかり
そして何一つ進まずこっちから解約した時には一年経過してたわ
申し込み後の客からの電話、メール問い合わせを絶対させない意思を強く感じたわ そろそろADSL終わるからこれ契約するか悩んでたんだけど
やばいのこれ? ソニーのお漏らし
プレステのときも曖昧なままだったな 11月の上旬に申し込んで、こないだ屋内工事終了。
屋外は12月中旬。
ONU付きルーターは置いてある。
QrioLock付き(イラネーが)にしたので、ここで言われているやつとは違うモデル。 SONYって時点出使う奴がバカ
ただの反日企業だしな ルーターとかモデムとか言ってしまうのはテレホとかADSL時代の名残なのかな
ONUとか終端装置って未だにすらっとでてこないや 回線屋内工事とかあるんだ
モジェラージャックオンリーの案件とか貴重だろうな >>31
ONUって買ったらいくら位するんだろうな >>31
NUROはONUとルータが一体型でルータ機能をオフにすることもできない フレッツの小型ONUだとSFPになっていて、L2スイッチに差せば使えることもあるくらい緩いんだけどな >>28
au光は今だと回線撤去料が必須&高額でなぁ
その割に月額も他と比べて安くもないからトータルで考えると高くない? 俺もNURO申し込んだとき心配だったんだが、宅内工事してもらったときの話によると、ファーウェイのは生産終了だとかで、ぜんぶZTEになってるらしい やっぱりクソだな
ソニーがゴリ押ししてるものはだいたいこんなのもの なんでHuawei製品使ってんの?
あたまおかしいの? >>64
ドコモもauもモバイルルーターファーウェイ製だらけだが? macアドレスがバレると、普通に外から入れちゃうんだよな
これ、v6で使ってる人って危なくないの? うちもNUROなんだがZTE製だったわ、まあこれも中華なんだが nuro契約するやつの大半はオンゲー廃人だろ
中毒症患者からはカモれるだけカモっとけ カタログ詐欺チョニーのレンタル機器でも
アンテナ8本はえたようなルーターじゃないなら自前しかないな >>76
ZTEも制裁くらったしくらいなおしたろ
ttps://jp.reuters.com/article/china-zte-us-ban-idJPKBN1IA3LW レンタルだし別のONUに交換したら良いんじゃないのか >>81
同一メーカーでしか変えてくれんのよね。
可能なら、台湾のサーコム製にしたいわ。 >>46
俺は楽天モバイルにするわ
30Mくらいしか出ないけどADSLよりは速いし >>81
Huawei製かZTE製のどちらかが来る
工事当日までわからないしユーザーは選べない ファーウェイのは速度出ない欠陥品だから対応いらないだろ 交換すれば良い >>84
今は台湾のサーコムが追加されてる。
ガチャなのには変わりないけど。 >>40
もちろん問題なくスムーズにできる事はあるだろうけど、被害者はかなりいる。 Nuro光はテレワーク非推奨だからなぁ
だってONUがHuaweiかZTEという、トランプ法に引っかかるからw 別に良くね?
フレッツのルーターだとはじめから公開されてる機能だし。 中華ルーターばっか使うからこんな事になる。安かろう悪かろうNUROだろう nuroに11/27に申し込んで、申込みの画面で宅内工事を12/4にした。
で、なにも連絡してないのに12/11に宅外工事を設定してきた。たったの2週間で繋がるんだな、普通に長期戦考えてたのに。 やべえ、使ってる機種だ。対応しないんだったら、解約するかな。 ヌューロはまだファーウェイとかZTE使ってるからな つまり中華ルーターに共通の管理ID・PASSが設定されていたのか
ソニー悪くないだろ
これが嫌なら自分で市販のルーター買えってことか 2月に申し込んで、宅内工事から半年経つけど、未だに宅外工事の日程決まらないなぁ アイホンも中国の武漢で製造されているからスパイ機器やなw WANからログインされるわけじゃないんだろう?
NUROのセキュリティ意識が低いのはわかったが >>31
そういえば二重ルーターにするという逃げ道はある 安かろう悪かろうの典型例だな。工事は遅いはそのうえキャンセルするはで乗り換えなくて良かった。 ソニーの筆頭株主が、アメリカになった時点で終わったな ルーティングテーブルが設定できないから
糞ONUだと思っていたのに、出来るんじゃねーか
隠し機能なんかにするなよ >>1
>・2020年11月9日:NURO光から再び折り返しの電話あり、11月5日と同じ責任者から「NURO側から正式に『脆弱性は修正しない』という回答があった」との返答
問い合わせから約2週間後にNURO光から得られた最終的な回答は以下。
・特定されたアカウントはNURO光の管理者アカウントだが、直ちに外部から不正なアクセスをされるわけではないので修正などの対応はしない
・管理者アカウントを利用して不具合が発生しても、NURO光側としては一切のサポートはしない
・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
・2020年10月19日にアナウンスしたファームウェアアップデートでも、脆弱性の修正は行っていない
↑
投げ槍にも程があるだろ。 >>101
内側にシナチョンの工作員ゼロかどうかは怪しいな。 「修正しない」のではなく、技術がなくて「修正できない」んじゃねーの 10年くらいフレッツハイスピードとかいうの使ってるけど
4Kもスムーズに見れるしダウンロードも1GBくらいなら数分で落ちてくるから
実用上なんの問題もない >>31なんてのは
ADSLの時はモデムも買えたし
未だにADSLなら知らない可能性も… NURO BizとNUROは違うらしいけど、個人契約は出来るのかね? >>83
よっぽど田舎県とか(2年くらいはローミング解除されないとか)
楽天の基地局直下とかじゃないと
すぐに使えなくなるだろ >>121
bizは法人じゃないと契約できない
例えば個人事業主ではNG ファーウェイまじか
NUROは使ってないけど知らなんだ 結局速く快適なネットは何処なのよ?縛りがあと2年あるから更新月で変えるわ >>101
WAN側からSSH経由でONUにログインされるって。NuroがONUの設定に使うツールとの事。
実際、ipv4経由でso-netのネットワークにsshで入り込めるとは、思わないけどな。 今すぐ買い換えるからおすすめのwifi6無線ルータって何よ? >>128
あり得るのか
ONU自体がわんさかトラフィック生成してなきゃMACわからないだろうけど >>128
NUROって直にグローバルIPアドレスが振られるようにははなってないのか >>117
エアコンと室外機繋ぐパイプの横から出もいいんやで >>127
フレッツのIPoEは快適、マンション光引き込みタイプで
常時600Mbpsオーバー出てる
IPアドレスが基本的に固定されることがネックかな
それ以外だと電力系がいいだろうけど、関東圏だとauになるのかな
ただし、古い賃貸物件だとマンション内電話線分配だったり、ラストワンマイルで
品質は変わるからサービスよりも住んでいる物件、環境のほうが重要 >>128
WAN側からのSSHアクセスはデフォでは無理 nuro光が使うアカウントってなんだよ?
勝手にアクセスしてくんのかよ? これでNUROは候補から消えた
今ビクロだからそこの光でいいや
auの光ってどうですか? >>135
そうなのか、戸建てだからそこら辺は大丈夫だがスマホauじゃないしフレッツにしようかな >>142
ダイヤルうpが伸びてるそのこころは何ぞや。 >>145
バックドアとかよフロントドアだったりして(笑) >>146
実際に接続したのを調べてるならわからんけど、ニフティはADSLやめて退会しないとダイヤルアッププランに変更させられたぞ >>146
_____________
___ /
/´∀`;:::\< 呼んだ?
/ /::::::::::| |
| ./| /:::::|::::::| \_____________
| ||/::::::::|::::::| Huawei製なんてあったんだ
他の機器に交換してもらうか解約だろうけど・・・
違約金高いんじゃなかったっけここ >>127
auひかり ホーム10ギガ・5ギガ
https://www.au.com/internet/auhikari_10-5g/
↑auひかりは結構前から提供されてて普通に評判良い
フレッツ 光クロス
https://flets.com/cross/
これは今年の春から提供開始してる
評判はわからん LAN側からしかアクセスできないんなら致命的な脆弱性とは言えまい このご時世ファーウェイ製のonuは希望者には交換対応しないとマズくね? ルーターの隠し設定はあるあるだから驚く事でもないし、
WAN側から接続不可なら特に問題ないだろ
致命的な問題ではないけど、Huawei製とNUROが相手してくれないから騒いでるだけにしか見えない。 LAN側だから良い理論がよく分からない、いい訳ないだろう >>141
小卒ホモ近平主席 「ほらよw チャリン♪ チャリ〜ン♪」
中卒五毛党 「ありがてぇw ありがてぇw 月収4万円だからありがてぇw」
高卒五毛党 「ありがてぇw 月収6万円だからありがてぇw」
大卒五毛党 「ありがてぇw 月収8万円だからありがてぇw」
無毛受刑者 「ありがてぇw 刑期が減るらしいからありがてぇw」
↑こいつらはどこにでも湧くからねーw ヌーロは割り当てIPも変とかっていううわさが
未確認だがなかったか?
さらにこんな罠もw 以前からNUROはHGWがファーウェイかZTEしか無いから危険だと言っていたのに
それみたことかだよ 何か勘違いしてる人が居るけど、どんな機器でも管理者権限でしか設定出来ない機能持ってるのは当たり前
むしろユーザー権限ですべての設定できる方が怖い
その管理者アカウントが漏れたのが問題であって、管理者権限があったことじゃない Huawei製の「HG8045Q」となっています
でしょうね(´・ω・`) >>31
2重ルーターしないと危険ってことだな
せっかくの10Gbpsを活かすのは難しくなりそうだが >>104
ONU乗取られてデータ抜かれる場合、2重ルータとか意味ないぞ よく分からんが、NURO光ってソフトバンク系なんだっけ? なんで放置すんの?
もしかして同業他社の不正アクセス待ちか? 結局、光はどこがいいの?
余計なこと考えず素直にフレッツがいいのかな これってwifi側からONUに管理者権限でログイン出来るってこと?
そうなら直ちに問題ありそうだけど。 NUROはNTTのふりして営業の電話してくるのがクソだよな。こないだなんてコロナの話ちらつかせて、補助金の対象がどうのとか悪質だった。 おまえら出遅れ組は開通出来なくてなけよ。
DL200Mbps超え、もう体験不可能なんだしな。 WEPのポイントを決められたタイミングで起動すれように仕込んでおけば、簡単に内部ネットワークにアクセスできるよ。 確かONUのルーター機能をオフにできないんだよな
工事の際にモメてボロカスに文句言ってキャンセルしたわ >>88
説明がわかりづらいのはあるだろうけど
Nuroからの電話なんて待ってないで自分でログインして空き日のカレンダーから工事希望日選択する形で予約できるんだよ
それ知らない人たちが向こうから電話が来ない来ないって騒いでるのをちょくちょく見かける
電話なんて待ってないで自分でWebから予約しろと 俺はこれ先読みして、安値爆速のnuro蹴ったわ
中華onuしか選べんとかありえんからw
お前らよく契約できたなあ
バックドアあると思わなかったの? >>175
lan側からのみ。なので他社のONUと同じ。
大した問題ではない。 >>180
2020年なのにwepって的外れ過ぎない?
もうwpa1すら使ってないのに… NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
(Huawei製の)NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
肝心の部分がスレタイから抜かれてます わざとだろ? サービスマンモードの垢パスをリバースエンジニアリングでハックされたとも見えるが、このご時世だからなあ…。 MACアドレスが分かればSSHで繋がるってこと?なら脆弱性だよね。終端機器から致命的な情報が出てこなければいいね。 疎いからわからないんだけど、要はセキュリティーが脆弱って事はクレカ情報とかその他個人情報がダダ漏れって事? >>189
機器的にはLAN側からだけ。そもそも外からのSSHなんてISPが許可してないんじゃないか? >>191
ポート開放はONU付きルータで設定出来るようだけど、ルータのSSHには穴開け出来ないようになっているのかな >>142
クッソ田舎に引っ越すが光回線などない、敷設される見込みもないということで
アナログ電話回線はあるからADSLに申し込むか思案中 管理者ログインではいると、機能が増えるみたいだなw
インターネットに最初に接続するサイトも変えられるんだとよ
いきなり有料エロサイト誘導は勘弁してくれよw >>194
そもそもISP上位ルータで許可してるのかなっ?てこと。ユーザー向けの53番とか閉じてるでしょ。オープンリゾルバ対策で。 >>197
ソニーネットワークコミュニケーションズ
so-netとNURO両方 うち賃貸だから大家からニューロNGが出て良かった
フレッツ万歳 自宅に設置した市販ルータのログイン並びにWifi接続用PWをデフォルトから英字大文字小文字数字記号10文字以上に設定している者のみ、Nuroに石を投げなさい
ファーウェイは感心せんけどそもそもみんなが使ってるケータイの基地局だってサムスンファーウェイまみれという事実
特定アジアがその気になればお前の肛門のシワの数だってすぐバレるぞ 小卒ホモ近平主席 「ほらよw チャリン♪ チャリ〜ン♪」
中卒五毛党 「ありがてぇw ありがてぇw 月収4万円だからありがてぇw」
高卒五毛党 「ありがてぇw 月収6万円だからありがてぇw」
大卒五毛党 「ありがてぇw 月収8万円だからありがてぇw」
無毛受刑者 「ありがてぇw 刑期が減るらしいからありがてぇw」
五毛の月収も半分になりそうやなw そう言えば前にTP-LINK無線LANルーターもバックドアが仕掛られたよなw修正の予定無しってヤバすぎw >>195
ADSLは多分もうどこも新規受付していないんじゃね >>206
NTTが2023年1月31日で終了と言ってるのは光回線提供エリアでの話であってADSL完全終了ではない
プロバイダもまだ各社やってるようだ 工事直前だったので工事キャンセル&退会した。
サポートが実質チャットのみだけど、対応が良かっただけになんか残念な感じだなぁ。
日本製のONU採用したら教えてくれ。乗り換えるから。 これはファーウェイのデフォルト仕様だよ。何を言ってるのか意味不明。スレ建てることではない。 >>1
>脆弱性が報告されているのはHuawei製の「HG8045Q」
また中国共産党企業のスパイ端末か! 原神とかインストしてたら
もう内側から穴開けられてそうだな 原神とかインストしてたら
もう内側から穴開けられてそうだな 安い光コラボで700M出てるから不満なし
コロナ禍の中ADSL速度落ちまくって辛かった
乗り換えて良かった 本日マンション開通
ZTEでした
誇り高き横浜なのに県名表示が臭すぎて草 >>208
NTTは少なくとも新規受付していないはずやで 申し込みから宅内工事まではすんなりいったけど、屋外工事が確認中ステータスから変わる気配がなく二週間経過で待ちぼうけ NUROにしようと思ってたけどここでクソみたいな評判見てやめたわ >>221
eo光が引けるなら完全に一択だ迷うな
eo光の超快適な生活(約12年)
→引っ越しでフレッツ隼のクッソゲロ遅いぼったくりにいらつく(約5年)
→NUROが来てまあまあ快適(約2年) ←いまここ
eoに戻りてえ 管理者ログインで、機能が増えてワロタ
ルーティングが細かく設定できる、ネットをコントロールできるわ
でも、ログイン名パスワード変える場合は、ファーウェイに連絡しろと
ファーwww >>225
これマジ?
ファーウェイに管理者アカウント通知する必要なんてないだろ
あんだけ騒がれたのにいまだにファーウェイ扱ってたのか
相変わらずの親中企業だな いまだにNUROは、HUAWEIかZTEの2択なの? 管理者権限で習近平とお友達になれるキャンペーン中 www 機器がHUAWEI,ZTEで避けてたが、運営のソニーも地雷だったか
やっぱり安心のフレッツだな 今回の内容はサービスメニューに入るためのアカウント・パスワード判明を発端に、
SSHでルート権限が必要なコマンドが使えることが確認できたという内容。
しかし数種の条件が揃わないと実行できないから、大騒ぎするほどではない。
そんなことより、華為謹製のONU+ルーター+WiFiAPが一体のHGWなもんで、
オンラインファーム更新で、どんな細工を入れられるかわからん不安のほうが
よほど大きい。 それじゃテレビのサービスマンモードへの入り方が分かった。
というのと大して変わらんやん。 やっぱり中華製の0NUやルーターはヤバいんやね
TP-LINKって中国企業はルーター世界最大手なんだけど バックドアに問題が有る.. https://anond.hatelabo.jp/20190406192011 ■ このスレッドは過去ログ倉庫に格納されています