NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
■ このスレッドは過去ログ倉庫に格納されています
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。
https://gigazine.net/news/20201128-nuro-onu-vulnerablity/ >>40
もちろん問題なくスムーズにできる事はあるだろうけど、被害者はかなりいる。 Nuro光はテレワーク非推奨だからなぁ
だってONUがHuaweiかZTEという、トランプ法に引っかかるからw 別に良くね?
フレッツのルーターだとはじめから公開されてる機能だし。 中華ルーターばっか使うからこんな事になる。安かろう悪かろうNUROだろう nuroに11/27に申し込んで、申込みの画面で宅内工事を12/4にした。
で、なにも連絡してないのに12/11に宅外工事を設定してきた。たったの2週間で繋がるんだな、普通に長期戦考えてたのに。 やべえ、使ってる機種だ。対応しないんだったら、解約するかな。 ヌューロはまだファーウェイとかZTE使ってるからな つまり中華ルーターに共通の管理ID・PASSが設定されていたのか
ソニー悪くないだろ
これが嫌なら自分で市販のルーター買えってことか 2月に申し込んで、宅内工事から半年経つけど、未だに宅外工事の日程決まらないなぁ アイホンも中国の武漢で製造されているからスパイ機器やなw WANからログインされるわけじゃないんだろう?
NUROのセキュリティ意識が低いのはわかったが >>31
そういえば二重ルーターにするという逃げ道はある 安かろう悪かろうの典型例だな。工事は遅いはそのうえキャンセルするはで乗り換えなくて良かった。 ソニーの筆頭株主が、アメリカになった時点で終わったな ルーティングテーブルが設定できないから
糞ONUだと思っていたのに、出来るんじゃねーか
隠し機能なんかにするなよ >>1
>・2020年11月9日:NURO光から再び折り返しの電話あり、11月5日と同じ責任者から「NURO側から正式に『脆弱性は修正しない』という回答があった」との返答
問い合わせから約2週間後にNURO光から得られた最終的な回答は以下。
・特定されたアカウントはNURO光の管理者アカウントだが、直ちに外部から不正なアクセスをされるわけではないので修正などの対応はしない
・管理者アカウントを利用して不具合が発生しても、NURO光側としては一切のサポートはしない
・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
・2020年10月19日にアナウンスしたファームウェアアップデートでも、脆弱性の修正は行っていない
↑
投げ槍にも程があるだろ。 >>101
内側にシナチョンの工作員ゼロかどうかは怪しいな。 「修正しない」のではなく、技術がなくて「修正できない」んじゃねーの 10年くらいフレッツハイスピードとかいうの使ってるけど
4Kもスムーズに見れるしダウンロードも1GBくらいなら数分で落ちてくるから
実用上なんの問題もない >>31なんてのは
ADSLの時はモデムも買えたし
未だにADSLなら知らない可能性も… NURO BizとNUROは違うらしいけど、個人契約は出来るのかね? >>83
よっぽど田舎県とか(2年くらいはローミング解除されないとか)
楽天の基地局直下とかじゃないと
すぐに使えなくなるだろ >>121
bizは法人じゃないと契約できない
例えば個人事業主ではNG ファーウェイまじか
NUROは使ってないけど知らなんだ 結局速く快適なネットは何処なのよ?縛りがあと2年あるから更新月で変えるわ >>101
WAN側からSSH経由でONUにログインされるって。NuroがONUの設定に使うツールとの事。
実際、ipv4経由でso-netのネットワークにsshで入り込めるとは、思わないけどな。 今すぐ買い換えるからおすすめのwifi6無線ルータって何よ? >>128
あり得るのか
ONU自体がわんさかトラフィック生成してなきゃMACわからないだろうけど >>128
NUROって直にグローバルIPアドレスが振られるようにははなってないのか >>117
エアコンと室外機繋ぐパイプの横から出もいいんやで >>127
フレッツのIPoEは快適、マンション光引き込みタイプで
常時600Mbpsオーバー出てる
IPアドレスが基本的に固定されることがネックかな
それ以外だと電力系がいいだろうけど、関東圏だとauになるのかな
ただし、古い賃貸物件だとマンション内電話線分配だったり、ラストワンマイルで
品質は変わるからサービスよりも住んでいる物件、環境のほうが重要 >>128
WAN側からのSSHアクセスはデフォでは無理 nuro光が使うアカウントってなんだよ?
勝手にアクセスしてくんのかよ? これでNUROは候補から消えた
今ビクロだからそこの光でいいや
auの光ってどうですか? >>135
そうなのか、戸建てだからそこら辺は大丈夫だがスマホauじゃないしフレッツにしようかな >>142
ダイヤルうpが伸びてるそのこころは何ぞや。 >>145
バックドアとかよフロントドアだったりして(笑) >>146
実際に接続したのを調べてるならわからんけど、ニフティはADSLやめて退会しないとダイヤルアッププランに変更させられたぞ >>146
_____________
___ /
/´∀`;:::\< 呼んだ?
/ /::::::::::| |
| ./| /:::::|::::::| \_____________
| ||/::::::::|::::::| Huawei製なんてあったんだ
他の機器に交換してもらうか解約だろうけど・・・
違約金高いんじゃなかったっけここ >>127
auひかり ホーム10ギガ・5ギガ
https://www.au.com/internet/auhikari_10-5g/
↑auひかりは結構前から提供されてて普通に評判良い
フレッツ 光クロス
https://flets.com/cross/
これは今年の春から提供開始してる
評判はわからん LAN側からしかアクセスできないんなら致命的な脆弱性とは言えまい このご時世ファーウェイ製のonuは希望者には交換対応しないとマズくね? ルーターの隠し設定はあるあるだから驚く事でもないし、
WAN側から接続不可なら特に問題ないだろ
致命的な問題ではないけど、Huawei製とNUROが相手してくれないから騒いでるだけにしか見えない。 LAN側だから良い理論がよく分からない、いい訳ないだろう >>141
小卒ホモ近平主席 「ほらよw チャリン♪ チャリ〜ン♪」
中卒五毛党 「ありがてぇw ありがてぇw 月収4万円だからありがてぇw」
高卒五毛党 「ありがてぇw 月収6万円だからありがてぇw」
大卒五毛党 「ありがてぇw 月収8万円だからありがてぇw」
無毛受刑者 「ありがてぇw 刑期が減るらしいからありがてぇw」
↑こいつらはどこにでも湧くからねーw ヌーロは割り当てIPも変とかっていううわさが
未確認だがなかったか?
さらにこんな罠もw 以前からNUROはHGWがファーウェイかZTEしか無いから危険だと言っていたのに
それみたことかだよ 何か勘違いしてる人が居るけど、どんな機器でも管理者権限でしか設定出来ない機能持ってるのは当たり前
むしろユーザー権限ですべての設定できる方が怖い
その管理者アカウントが漏れたのが問題であって、管理者権限があったことじゃない Huawei製の「HG8045Q」となっています
でしょうね(´・ω・`) >>31
2重ルーターしないと危険ってことだな
せっかくの10Gbpsを活かすのは難しくなりそうだが >>104
ONU乗取られてデータ抜かれる場合、2重ルータとか意味ないぞ よく分からんが、NURO光ってソフトバンク系なんだっけ? なんで放置すんの?
もしかして同業他社の不正アクセス待ちか? 結局、光はどこがいいの?
余計なこと考えず素直にフレッツがいいのかな これってwifi側からONUに管理者権限でログイン出来るってこと?
そうなら直ちに問題ありそうだけど。 NUROはNTTのふりして営業の電話してくるのがクソだよな。こないだなんてコロナの話ちらつかせて、補助金の対象がどうのとか悪質だった。 おまえら出遅れ組は開通出来なくてなけよ。
DL200Mbps超え、もう体験不可能なんだしな。 WEPのポイントを決められたタイミングで起動すれように仕込んでおけば、簡単に内部ネットワークにアクセスできるよ。 確かONUのルーター機能をオフにできないんだよな
工事の際にモメてボロカスに文句言ってキャンセルしたわ >>88
説明がわかりづらいのはあるだろうけど
Nuroからの電話なんて待ってないで自分でログインして空き日のカレンダーから工事希望日選択する形で予約できるんだよ
それ知らない人たちが向こうから電話が来ない来ないって騒いでるのをちょくちょく見かける
電話なんて待ってないで自分でWebから予約しろと 俺はこれ先読みして、安値爆速のnuro蹴ったわ
中華onuしか選べんとかありえんからw
お前らよく契約できたなあ
バックドアあると思わなかったの? >>175
lan側からのみ。なので他社のONUと同じ。
大した問題ではない。 >>180
2020年なのにwepって的外れ過ぎない?
もうwpa1すら使ってないのに… NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
(Huawei製の)NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
肝心の部分がスレタイから抜かれてます わざとだろ? サービスマンモードの垢パスをリバースエンジニアリングでハックされたとも見えるが、このご時世だからなあ…。 ■ このスレッドは過去ログ倉庫に格納されています