NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」

クロイツラス(埼玉県) **[US]** · 2020/11/29(日) 13:50:34.47

ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。

https://gigazine.net/news/20201128-nuro-onu-vulnerablity/

栓抜き攻撃(東京都) **[US]** · 2020/11/29(日) 13:51:32.28

JAROに報告

サソリ固め(東京都) **[IN]** · 2020/11/29(日) 13:51:48.54

ひでえw

・特定されたアカウントはNURO光の管理者アカウントだが、直ちに外部から不正なアクセスをされるわけではないので修正などの対応はしない
・管理者アカウントを利用して不具合が発生しても、NURO光側としては一切のサポートはしない
・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
・2020年10月19日にアナウンスしたファームウェアアップデートでも、脆弱性の修正は行っていない

……というわけで、NURO光は今回の脆弱性については「一切関知しない」という姿勢のようです。

ドラゴンスープレックス(福岡県) **[CN]** · 2020/11/29(日) 13:52:33.38

製造がファーウェイな時点で意図的なセキュリティホールじゃねぇか

キドクラッチ(埼玉県) **[FR]** · 2020/11/29(日) 13:52:42.69

中国製品を使う方が悪い

アトミックドロップ(兵庫県) **[ﾆﾀﾞ]** · 2020/11/29(日) 13:54:05.40

怪しい企業だな

32文ロケット砲(茸) **[GB]** · 2020/11/29(日) 13:54:35.85

>>1
バックドアじゃねーか

トペスイシーダ(熊本県) **[MX]** · 2020/11/29(日) 13:54:53.21

ルーターにランサムウェアとおもちゃのほうにマルウェアとバックドアで完璧だなｗ

フルネルソンスープレックス(栃木県) **[CN]** · 2020/11/29(日) 13:55:41.78

そして来月、利用料金2ヶ月分強制徴収

2020/11/29(日) 13:55:58.82

＞Huawei製の「HG8045Q」となっています

あ、はい。

アトミックドロップ(光) **[JP]** · 2020/11/29(日) 13:56:17.21

これヤバ過ぎだろ…やっぱりソニーなんか使うんじゃなかった…

超竜ボム(庭) **[US]** · 2020/11/29(日) 13:56:58.20

NURO10月に電話したのにまだ開通しねぇ…
そのうえこれかよ…

アトミックドロップ(神奈川県) **[US]** · 2020/11/29(日) 13:57:41.65

もう法律で禁止しないとダメだよな(;´･ω･)

腕ひしぎ十字固め(東京都) **[US]** · 2020/11/29(日) 13:57:43.24

> 脆弱性が報告されているのはHuawei製の「HG8045Q」

ファーウェイを使ってるんだから残当。

ローリングソバット(茸) **[US]** · 2020/11/29(日) 13:58:12.92

ソニー、日本だからってナメてんな

キドクラッチ(庭) **[DE]** · 2020/11/29(日) 13:58:41.98

ﾊﾞｯｸﾄﾞｱ(裏口)と言うより正面玄関だなw

セントーン(SB-iPhone) **[ﾆﾀﾞ]** · 2020/11/29(日) 13:59:24.11

乗り換えなくて良かった

シューティングスタープレス(東京都) **[US]** · 2020/11/29(日) 13:59:37.91

ソニーは相変わらずこういうとこポンコツだよな

バックドロップホールド(東京都) **[JP]** · 2020/11/29(日) 13:59:54.80

>>12
やめとけ。俺は半年かかって工事日も調整し宅内工事終わった後
さらに2ヶ月待たされた挙句最終的に無理って言われた
サポート電話つながるのに一時間待ち当たり前だし本当にクソだぞ

河津落とし(千葉県) **[KR]** · 2020/11/29(日) 14:00:25.17

やっぱりそうだったか
NURO回避しといて正解だったな

つーかこんなもん承知で使っていただろ、ソニー

2020/11/29(日) 14:00:28.10

ソニーダメすぎ

メンマ(佐賀県) **[US]** · 2020/11/29(日) 14:00:48.66

対応がお粗末過ぎる…

トペスイシーダ(熊本県) **[MX]** · 2020/11/29(日) 14:01:27.04

ベストエフォート1.3G（）これでレンタル料とか馬鹿らしいよな
指向性ビームフォーミングでMU-MIMOとかじゃないんだ・・・ｗ

さすがはカタログ詐欺のチョニー

フルネルソンスープレックス(栃木県) **[CN]** · 2020/11/29(日) 14:01:43.17

引っ越すなら何処がいい？

ドラゴンスープレックス(大阪府) **[US]** · 2020/11/29(日) 14:01:56.06

ファーウェイって時点で色々諦めてるわ･･･

2020/11/29(日) 14:02:25.50

ファーウェイ製ならそういう仕様だろ

トラースキック(神奈川県) **[FR]** · 2020/11/29(日) 14:02:56.10

これホントに今ソニーなの？
なんか最初は中国発じゃなかったっけ
伊武雅刀のナレーションの頃とか

キン肉バスター(ジパング) **[IT]** · 2020/11/29(日) 14:03:17.27

工事がまともに進まない事例があまりに多すぎるからやめたわ
auひかりなんか申し込みから二週間で開通したのに
客バカにしすぎだろwニューロの工事待ってる間に一家が一軒建つわw
ソニー製品は絶対買わないと決めた

河津掛け(ジパング) **[GB]** · 2020/11/29(日) 14:03:23.55

知ってた

キングコングラリアット(兵庫県) **[CN]** · 2020/11/29(日) 14:04:03.66

ソニーの癖にファーウェイ製とか使うんじゃねえよw
プライドとかねえのか

ハイキック(埼玉県) **[TR]** · 2020/11/29(日) 14:04:40.05

ルーターなんか高くないんだし、自前で用意するだろ

イス攻撃(ジパング) **[US]** · 2020/11/29(日) 14:05:01.45

>>31

2020/11/29(日) 14:05:12.23

工事関係でもめたって話あったが結局どうなったんだろう

ボマイェ(ジパング) **[CN]** · 2020/11/29(日) 14:05:58.12

>>31
これがバカなソニー信者か

フライングニールキック(茸) **[FR]** · 2020/11/29(日) 14:06:46.03

>>19
そういう話さんざん読んでたから親が引きたいといったときもそういう事例を教えてやめとけばと言った
そしたらなぜか申込みからサクサク2週間で開通してしまい俺がネットに踊らされてるバカみたいな扱いになっててかなしい

まあ俺んちは使えないし今のKDDIで不満ないから申し込まないけど

膝靭帯固め(江戸・武蔵國) **[IL]** · 2020/11/29(日) 14:07:04.42

昨日ニューロから電話きたわ
出てねぇけど

アキレス腱固め(ジパング) **[AI]** · 2020/11/29(日) 14:07:18.71

>>31
終端装置とルーターは別物な

2020/11/29(日) 14:07:45.18

>>19
オレも似たような対応されてやめたわ

ダブルニードロップ(ジパング) **[US]** · 2020/11/29(日) 14:08:52.67

運営会社にあの国の資本が入ってるんだろ

逆落とし(東京都) **[US]** · 2020/11/29(日) 14:09:21.28

>>12
なんで電話なの？
Webで自分で工事日の予約したら申し込みからすぐだったけどな？
屋外宅内どっちも

クロスヒールホールド(ジパング) **[US]** · 2020/11/29(日) 14:10:04.04

終端装置選ばせてほしい

ウエスタンラリアット(和歌山県) **[GB]** · 2020/11/29(日) 14:10:31.92

家にあるeoのやつは日立製でとりあえず安心

トペスイシーダ(熊本県) **[MX]** · 2020/11/29(日) 14:11:20.79

ソニーネットワークコミュニケーションズで自前回線なわけないし
結局は一緒かもな（）

ボマイェ(ジパング) **[CN]** · 2020/11/29(日) 14:11:21.16

>>19
一時間待ち？早いな
俺は2時間待たされたぞwいつ何時にかけてもろくに繋がらないから意地で待った
ようやく出てきたのはテンプレ3パターンしか答えないクソ対応w
項目ごとに問い合わせ電話番号違うし公表してない番号ばっかり
そして何一つ進まずこっちから解約した時には一年経過してたわ
申し込み後の客からの電話、メール問い合わせを絶対させない意思を強く感じたわ

フランケンシュタイナー(光) **[US]** · 2020/11/29(日) 14:11:33.39

NTTかKDDIが無難だと思う

16文キック(茸) **[US]** · 2020/11/29(日) 14:12:42.24

そろそろADSL終わるからこれ契約するか悩んでたんだけど
やばいのこれ？

キン肉バスター(北海道) **[BR]** · 2020/11/29(日) 14:13:34.78

>>31
ルータじゃなくてONUでは

2020/11/29(日) 14:14:08.75

ソニーのお漏らし
プレステのときも曖昧なままだったな

2020/11/29(日) 14:14:27.21

中国当局から監視するための仕様です！

稲妻レッグラリアット(茸) **[ﾆﾀﾞ]** · 2020/11/29(日) 14:16:11.96

11月の上旬に申し込んで、こないだ屋内工事終了。
屋外は12月中旬。
ONU付きルーターは置いてある。
QrioLock付き(イラネーが)にしたので、ここで言われているやつとは違うモデル。

ラケブラーダ(東京都) **[ﾆﾀﾞ]** · 2020/11/29(日) 14:16:59.99

SONYって時点出使う奴がバカ
ただの反日企業だしな

バックドロップ(三重県) **[ﾆﾀﾞ]** · 2020/11/29(日) 14:18:01.33

ルーターとかモデムとか言ってしまうのはテレホとかADSL時代の名残なのかな
ONUとか終端装置って未だにすらっとでてこないや

タイガードライバー(京都府) **[US]** · 2020/11/29(日) 14:18:25.70

小卒ホモ近平主席に覗かれまくってるのかｗ

トペスイシーダ(熊本県) **[MX]** · 2020/11/29(日) 14:20:11.86

回線屋内工事とかあるんだ
モジェラージャックオンリーの案件とか貴重だろうな

ランサルセ(群馬県) **[IN]** · 2020/11/29(日) 14:21:15.26

>>31
ONUって買ったらいくら位するんだろうな

ファルコンアロー(ジパング) **[CN]** · 2020/11/29(日) 14:21:26.70

>>31
NUROはONUとルータが一体型でルータ機能をオフにすることもできない

2020/11/29(日) 14:22:59.07

ファーウェイか・・・

キン肉バスター(北海道) **[BR]** · 2020/11/29(日) 14:24:32.79

フレッツの小型ONUだとSFPになっていて、L2スイッチに差せば使えることもあるくらい緩いんだけどな

ランサルセ(群馬県) **[IN]** · 2020/11/29(日) 14:25:03.68

>>28
au光は今だと回線撤去料が必須&高額でなぁ
その割に月額も他と比べて安くもないからトータルで考えると高くない？

ファルコンアロー(東京都) **[US]** · 2020/11/29(日) 14:25:15.75

俺もNURO申し込んだとき心配だったんだが、宅内工事してもらったときの話によると、ファーウェイのは生産終了だとかで、ぜんぶZTEになってるらしい

パイルドライバー(茸) **[DE]** · 2020/11/29(日) 14:26:49.94

やっぱりクソだな
ソニーがゴリ押ししてるものはだいたいこんなのもの

膝靭帯固め(京都府) **[US]** · 2020/11/29(日) 14:29:16.53

>>4
バックドアか。

ニーリフト(千葉県) **[US]** · 2020/11/29(日) 14:30:19.67

キャンセルしてよかった

(福岡県) **[ﾆﾀﾞ]** · 2020/11/29(日) 14:30:29.65

なんでHuawei製品使ってんの？

あたまおかしいの？

バックドロップ(東京都) **[US]** · 2020/11/29(日) 14:31:44.43

まあこれが広まれば新規契約は無くなるんじゃないか

2020/11/29(日) 14:31:49.11

>>64
ドコモもauもモバイルルーターファーウェイ製だらけだが？

ラダームーンサルト(SB-Android) **[JP]** · 2020/11/29(日) 14:32:30.88

NURO 光の速さの理由

2020/11/29(日) 14:33:39.38

>>67
うまい話には必ず理由があるよなあ

メンマ(ジパング) **[US]** · 2020/11/29(日) 14:33:43.27

20キロしか出ない

2020/11/29(日) 14:34:32.35

ぬるぽ…

エクスプロイダー(神奈川県) **[CN]** · 2020/11/29(日) 14:37:32.09

>>16
中国が正面玄関のカギ持ってる状態だなｗ

リバースパワースラム(ジパング) **[ZA]** · 2020/11/29(日) 14:37:35.78

まさにその機器使ってるが変えた方がいいのかな？

膝靭帯固め(ジパング) **[CA]** · 2020/11/29(日) 14:39:51.30

ZTE F660Aの俺大勝利　　か？

チェーン攻撃(ジパング) **[US]** · 2020/11/29(日) 14:41:09.11

macアドレスがバレると、普通に外から入れちゃうんだよな

これ、v6で使ってる人って危なくないの?

ナガタロックII(東京都) **[CN]** · 2020/11/29(日) 14:41:35.08

>>70
がっ

スターダストプレス(千葉県) **[IT]** · 2020/11/29(日) 14:42:34.31

うちもNUROなんだがZTE製だったわ、まあこれも中華なんだが

稲妻レッグラリアット(茸) **[ES]** · 2020/11/29(日) 14:43:45.19

nuro契約するやつの大半はオンゲー廃人だろ
中毒症患者からはカモれるだけカモっとけ

トペスイシーダ(熊本県) **[MX]** · 2020/11/29(日) 14:44:58.13

カタログ詐欺チョニーのレンタル機器でも
アンテナ８本はえたようなルーターじゃないなら自前しかないな

膝十字固め(東京都) **[US]** · 2020/11/29(日) 14:45:46.66

>>31
ONUの話や

2020/11/29(日) 14:45:51.08

>>76
ZTEも制裁くらったしくらいなおしたろ
ttps://jp.reuters.com/article/china-zte-us-ban-idJPKBN1IA3LW

フランケンシュタイナー(佐賀県) **[FR]** · 2020/11/29(日) 14:45:59.84

レンタルだし別のONUに交換したら良いんじゃないのか

ドラゴンスープレックス(大阪府) **[US]** · 2020/11/29(日) 14:47:29.84

>>81
同一メーカーでしか変えてくれんのよね。
可能なら、台湾のサーコム製にしたいわ。

エメラルドフロウジョン(ジパング) **[US]** · 2020/11/29(日) 14:48:25.46

>>46
俺は楽天モバイルにするわ
30Mくらいしか出ないけどADSLよりは速いし

膝十字固め(東京都) **[US]** · 2020/11/29(日) 14:50:05.85

>>81
Huawei製かZTE製のどちらかが来る
工事当日までわからないしユーザーは選べない

ムーンサルトプレス(神奈川県) **[US]** · 2020/11/29(日) 14:51:43.23

ファーウェイのは速度出ない欠陥品だから対応いらないだろ　交換すれば良い

アトミックドロップ(光) **[JP]** · 2020/11/29(日) 14:52:55.31

クレカから口座から全部筒抜けだぞ

ドラゴンスープレックス(大阪府) **[US]** · 2020/11/29(日) 14:52:57.06

>>84
今は台湾のサーコムが追加されてる。
ガチャなのには変わりないけど。