X
NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
■ このスレッドは過去ログ倉庫に格納されています
0001クロイツラス(埼玉県) [US]
垢版 |
2020/11/29(日) 13:50:34.47ID:BONjk1jY0?2BP(5000)

ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。

https://gigazine.net/news/20201128-nuro-onu-vulnerablity/
0088アンクルホールド(SB-iPhone) [US]
垢版 |
2020/11/29(日) 15:00:23.76ID:Ya1Bsfnt0
>>40
もちろん問題なくスムーズにできる事はあるだろうけど、被害者はかなりいる。
0090ボマイェ(東京都) [US]
垢版 |
2020/11/29(日) 15:03:26.86ID:m149yksR0
別に良くね?
フレッツのルーターだとはじめから公開されてる機能だし。
0092リバースネックブリーカー(愛知県) [US]
垢版 |
2020/11/29(日) 15:07:15.50ID:sSs4dB4J0
nuroに11/27に申し込んで、申込みの画面で宅内工事を12/4にした。
で、なにも連絡してないのに12/11に宅外工事を設定してきた。たったの2週間で繋がるんだな、普通に長期戦考えてたのに。
0096キャプチュード(東京都) [JP]
垢版 |
2020/11/29(日) 15:10:02.95ID:79Oc2F9Y0
つまり中華ルーターに共通の管理ID・PASSが設定されていたのか
ソニー悪くないだろ
これが嫌なら自分で市販のルーター買えってことか
0097垂直落下式DDT(北海道) [JP]
垢版 |
2020/11/29(日) 15:11:07.60ID:4Rso1rA/0
2月に申し込んで、宅内工事から半年経つけど、未だに宅外工事の日程決まらないなぁ
0098ニールキック(埼玉県) [ニダ]
垢版 |
2020/11/29(日) 15:11:41.39ID:D2ycL3zc0
シナベッタリクソニ―
0106垂直落下式DDT(ジパング) [US]
垢版 |
2020/11/29(日) 15:31:10.76ID:u9QSZRyu0
>>97
えぇ・・・
0107フェイスロック(東京都) [US]
垢版 |
2020/11/29(日) 15:41:34.72ID:rYCm/Tu/0
安かろう悪かろうの典型例だな。工事は遅いはそのうえキャンセルするはで乗り換えなくて良かった。
0108チェーン攻撃(兵庫県) [DE]
垢版 |
2020/11/29(日) 15:51:22.82ID:x94ndNde0
ソニーの筆頭株主が、アメリカになった時点で終わったな
0110断崖式ニードロップ(東京都) [DE]
垢版 |
2020/11/29(日) 15:54:07.91ID:7TOjJEKL0
ルーティングテーブルが設定できないから
糞ONUだと思っていたのに、出来るんじゃねーか
隠し機能なんかにするなよ
0111ジャンピングパワーボム(東京都) [CN]
垢版 |
2020/11/29(日) 15:56:24.49ID:yoyigVib0
>>1
>・2020年11月9日:NURO光から再び折り返しの電話あり、11月5日と同じ責任者から「NURO側から正式に『脆弱性は修正しない』という回答があった」との返答

問い合わせから約2週間後にNURO光から得られた最終的な回答は以下。

・特定されたアカウントはNURO光の管理者アカウントだが、直ちに外部から不正なアクセスをされるわけではないので修正などの対応はしない
・管理者アカウントを利用して不具合が発生しても、NURO光側としては一切のサポートはしない
・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
・2020年10月19日にアナウンスしたファームウェアアップデートでも、脆弱性の修正は行っていない


投げ槍にも程があるだろ。
0115ファイナルカット(神奈川県) [IE]
垢版 |
2020/11/29(日) 16:03:49.98ID:50mywqYw0
「修正しない」のではなく、技術がなくて「修正できない」んじゃねーの
0116アイアンフィンガーフロムヘル(静岡県) [US]
垢版 |
2020/11/29(日) 16:05:24.20ID:4UQ9ihXq0
ファーウェイww
0118セントーン(東京都) [US]
垢版 |
2020/11/29(日) 16:09:38.42ID:wc+UU3Ra0
10年くらいフレッツハイスピードとかいうの使ってるけど
4Kもスムーズに見れるしダウンロードも1GBくらいなら数分で落ちてくるから
実用上なんの問題もない
0119アイアンフィンガーフロムヘル(静岡県) [US]
垢版 |
2020/11/29(日) 16:11:26.65ID:4UQ9ihXq0
>>31なんてのは
ADSLの時はモデムも買えたし

未だにADSLなら知らない可能性も…
0121キン肉バスター(北海道) [BR]
垢版 |
2020/11/29(日) 16:12:37.07ID:evkxmI1J0
NURO BizとNUROは違うらしいけど、個人契約は出来るのかね?
0122アイアンフィンガーフロムヘル(静岡県) [US]
垢版 |
2020/11/29(日) 16:13:17.30ID:4UQ9ihXq0
>>83
よっぽど田舎県とか(2年くらいはローミング解除されないとか)
楽天の基地局直下とかじゃないと
すぐに使えなくなるだろ
0126雪崩式ブレーンバスター(埼玉県) [US]
垢版 |
2020/11/29(日) 16:33:27.69ID:zFHQscB20
>>4
うちのはZTEなんだが?
0128垂直落下式DDT(東京都) [US]
垢版 |
2020/11/29(日) 16:38:29.43ID:ZcZlS4VM0
>>101
WAN側からSSH経由でONUにログインされるって。NuroがONUの設定に使うツールとの事。
実際、ipv4経由でso-netのネットワークにsshで入り込めるとは、思わないけどな。
0130ドラゴンスープレックス(埼玉県) [ZW]
垢版 |
2020/11/29(日) 16:42:12.10ID:sMinGIoT0
今すぐ買い換えるからおすすめのwifi6無線ルータって何よ?
0132キン肉バスター(北海道) [BR]
垢版 |
2020/11/29(日) 16:44:34.75ID:evkxmI1J0
>>128
NUROって直にグローバルIPアドレスが振られるようにははなってないのか
0133キン肉バスター(北海道) [BR]
垢版 |
2020/11/29(日) 16:45:05.21ID:evkxmI1J0
>>124
そうなのか。残念。
0135パロスペシャル(東京都) [US]
垢版 |
2020/11/29(日) 16:59:08.77ID:9jLXXpcc0
>>127
フレッツのIPoEは快適、マンション光引き込みタイプで
常時600Mbpsオーバー出てる
IPアドレスが基本的に固定されることがネックかな
それ以外だと電力系がいいだろうけど、関東圏だとauになるのかな
ただし、古い賃貸物件だとマンション内電話線分配だったり、ラストワンマイルで
品質は変わるからサービスよりも住んでいる物件、環境のほうが重要
0137雪崩式ブレーンバスター(福岡県) [CA]
垢版 |
2020/11/29(日) 17:22:57.70ID:VyHUVvA70
NURO光はスパイウェア
0138ナガタロックII(大阪府) [ニダ]
垢版 |
2020/11/29(日) 17:24:47.74ID:K9ApKYTo0
nuro光が使うアカウントってなんだよ?
勝手にアクセスしてくんのかよ?
0139アンクルホールド(神奈川県) [JP]
垢版 |
2020/11/29(日) 17:25:17.65ID:Ml8NDSxo0
NURO光って電源を落とさない限りはIP固定?
0141アンクルホールド(茸) [ニダ]
垢版 |
2020/11/29(日) 17:26:53.31ID:X53NlA9u0
このスレ中華の工作員わいとるな。
0148テキサスクローバーホールド(埼玉県) [US]
垢版 |
2020/11/29(日) 18:17:47.69ID:Is3SLvSX0
>>146
実際に接続したのを調べてるならわからんけど、ニフティはADSLやめて退会しないとダイヤルアッププランに変更させられたぞ
0149雪崩式ブレーンバスター(東京都) [ニダ]
垢版 |
2020/11/29(日) 18:18:18.42ID:CIAM17Ny0
>>146
           _____________
   ___   /
 /´∀`;:::\< 呼んだ?
/    /::::::::::| |
| ./|  /:::::|::::::| \_____________
| ||/::::::::|::::::|
0151ダイビングフットスタンプ(東京都) [ニダ]
垢版 |
2020/11/29(日) 18:23:19.84ID:yA9+rEL10
Huawei製なんてあったんだ
他の機器に交換してもらうか解約だろうけど・・・
違約金高いんじゃなかったっけここ
0152トペ スイシーダ(東京都) [US]
垢版 |
2020/11/29(日) 18:24:50.60ID:zkNXdyk80
ZTEなんだけど新型に替えてほしいなぁ
0153マスク剥ぎ(東京都) [GB]
垢版 |
2020/11/29(日) 18:25:54.08ID:xCx55aK+0
onu毎に帯域制限してるって聞いた
0155ショルダーアームブリーカー(愛知県) [US]
垢版 |
2020/11/29(日) 18:29:13.20ID:+lkGnaRH0
LAN側からしかアクセスできないんなら致命的な脆弱性とは言えまい
0156稲妻レッグラリアット(東京都) [US]
垢版 |
2020/11/29(日) 18:29:43.81ID:KRCRV2k+0
このご時世ファーウェイ製のonuは希望者には交換対応しないとマズくね?
0157バックドロップ(北海道) [CN]
垢版 |
2020/11/29(日) 18:31:17.76ID:4BUsQXX50
ルーターの隠し設定はあるあるだから驚く事でもないし、
WAN側から接続不可なら特に問題ないだろ
致命的な問題ではないけど、Huawei製とNUROが相手してくれないから騒いでるだけにしか見えない。
0158稲妻レッグラリアット(東京都) [US]
垢版 |
2020/11/29(日) 18:35:52.27ID:KRCRV2k+0
LAN側だから良い理論がよく分からない、いい訳ないだろう
0159チェーン攻撃(SB-iPhone) [US]
垢版 |
2020/11/29(日) 18:35:53.49ID:pBjgZ0Jh0
関知しないってすげーなw
0160タイガードライバー(京都府) [US]
垢版 |
2020/11/29(日) 18:37:07.55ID:yk26UJrE0
>>141
小卒ホモ近平主席 「ほらよw チャリン♪ チャリ〜ン♪」
中卒五毛党 「ありがてぇw ありがてぇw 月収4万円だからありがてぇw」
高卒五毛党 「ありがてぇw 月収6万円だからありがてぇw」
大卒五毛党 「ありがてぇw 月収8万円だからありがてぇw」
無毛受刑者 「ありがてぇw 刑期が減るらしいからありがてぇw」

↑こいつらはどこにでも湧くからねーw
0161マスク剥ぎ(兵庫県) [US]
垢版 |
2020/11/29(日) 18:59:42.49ID:adn34drH0
ヌーロは割り当てIPも変とかっていううわさが
未確認だがなかったか?
さらにこんな罠もw
0163閃光妖術(神奈川県) [US]
垢版 |
2020/11/29(日) 19:30:13.75ID:mxlcxiI20
何か勘違いしてる人が居るけど、どんな機器でも管理者権限でしか設定出来ない機能持ってるのは当たり前
むしろユーザー権限ですべての設定できる方が怖い
その管理者アカウントが漏れたのが問題であって、管理者権限があったことじゃない
0165目潰し(熊本県) [US]
垢版 |
2020/11/29(日) 19:41:12.33ID:GsS3BVfa0
Huawei製の「HG8045Q」となっています

でしょうね(´・ω・`)
0166ファイヤーバードスプラッシュ(茸) [US]
垢版 |
2020/11/29(日) 19:48:29.00ID:Y/uMkR/L0
>>31
2重ルーターしないと危険ってことだな
せっかくの10Gbpsを活かすのは難しくなりそうだが
0168バーニングハンマー(愛知県) [KR]
垢版 |
2020/11/29(日) 21:04:54.01ID:WcoKSELn0
ソニーはファーウェイとズブズブ
0171トペ スイシーダ(熊本県) [MX]
垢版 |
2020/11/29(日) 22:01:45.94ID:w3Yjqgyv0
どうもラグいな・・・これはNUROってるかもな
0172ジャンピングエルボーアタック(埼玉県) [ニダ]
垢版 |
2020/11/29(日) 22:14:49.41ID:29OSNxFs0
よく分からんが、NURO光ってソフトバンク系なんだっけ?
0173目潰し(茸) [CN]
垢版 |
2020/11/29(日) 22:28:14.58ID:I1ztFLaA0
なんで放置すんの?
もしかして同業他社の不正アクセス待ちか?
0174フランケンシュタイナー(東京都) [ニダ]
垢版 |
2020/11/29(日) 22:34:49.73ID:ZPVqxfz20
結局、光はどこがいいの?

余計なこと考えず素直にフレッツがいいのかな
0175エクスプロイダー(神奈川県) [CN]
垢版 |
2020/11/29(日) 22:36:35.49ID:WuuwCtuQ0
これってwifi側からONUに管理者権限でログイン出来るってこと?
そうなら直ちに問題ありそうだけど。
0176目潰し(静岡県) [US]
垢版 |
2020/11/29(日) 22:47:10.52ID:LiRi8lzP0
SONYじゃなくてクSo-netだろ?
0177ジャーマンスープレックス(埼玉県) [JP]
垢版 |
2020/11/29(日) 22:56:04.56ID:DFZlNlNI0
NUROはNTTのふりして営業の電話してくるのがクソだよな。こないだなんてコロナの話ちらつかせて、補助金の対象がどうのとか悪質だった。
0179サソリ固め(栃木県) [US]
垢版 |
2020/11/29(日) 23:26:05.61ID:ftB+IvTc0
おまえら出遅れ組は開通出来なくてなけよ。
DL200Mbps超え、もう体験不可能なんだしな。
0180スパイダージャーマン(東京都) [US]
垢版 |
2020/11/29(日) 23:29:11.48ID:aWaZeI2u0
WEPのポイントを決められたタイミングで起動すれように仕込んでおけば、簡単に内部ネットワークにアクセスできるよ。
0181トラースキック(兵庫県) [US]
垢版 |
2020/11/30(月) 00:14:58.66ID:s5cUIqRH0
確かONUのルーター機能をオフにできないんだよな
工事の際にモメてボロカスに文句言ってキャンセルしたわ
0182リキラリアット(千葉県) [RU]
垢版 |
2020/11/30(月) 01:19:11.09ID:kMX/v2s50
>>88
説明がわかりづらいのはあるだろうけど
Nuroからの電話なんて待ってないで自分でログインして空き日のカレンダーから工事希望日選択する形で予約できるんだよ
それ知らない人たちが向こうから電話が来ない来ないって騒いでるのをちょくちょく見かける
電話なんて待ってないで自分でWebから予約しろと
0183足4の字固め(東京都) [PT]
垢版 |
2020/11/30(月) 02:55:35.88ID:VKupERTn0
俺はこれ先読みして、安値爆速のnuro蹴ったわ
中華onuしか選べんとかありえんからw

お前らよく契約できたなあ
バックドアあると思わなかったの?
0186トペ コンヒーロ(静岡県) [US]
垢版 |
2020/11/30(月) 05:59:23.12ID:7CH/wFBx0
>>54
フレッツの線とは完全に別の線引くからな
0187ミッドナイトエクスプレス(愛知県) [ニダ]
垢版 |
2020/11/30(月) 06:55:31.99ID:zaFz9S1f0
NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
(Huawei製の)NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」

肝心の部分がスレタイから抜かれてます わざとだろ?
■ このスレッドは過去ログ倉庫に格納されています