NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」

クロイツラス(埼玉県) **[US]** · 2020/11/29(日) 13:50:34.47

ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。

https://gigazine.net/news/20201128-nuro-onu-vulnerablity/

デンジャラスバックドロップ(東京都) **[US]** · 2020/11/30(月) 09:43:12.89

MACアドレスが分かればSSHで繋がるってこと？なら脆弱性だよね。終端機器から致命的な情報が出てこなければいいね。

ニーリフト(ジパング) **[US]** · 2020/11/30(月) 10:00:29.27

疎いからわからないんだけど、要はセキュリティーが脆弱って事はクレカ情報とかその他個人情報がダダ漏れって事？

2020/11/30(月) 10:12:34.86

>>189
機器的にはLAN側からだけ。そもそも外からのSSHなんてISPが許可してないんじゃないか？

ショルダーアームブリーカー(東京都) **[US]** · 2020/11/30(月) 11:20:02.09

また中共かよ

ヒップアタック(大阪府) **[US]** · 2020/11/30(月) 11:51:38.48

NURO光だがZTEだったｾﾌｾﾌ

チェーン攻撃(日本) **[DE]** · 2020/11/30(月) 11:52:10.88

>>191
ポート開放はONU付きルータで設定出来るようだけど、ルータのSSHには穴開け出来ないようになっているのかな

ヒップアタック(大阪府) **[US]** · 2020/11/30(月) 11:56:21.40

>>142
クッソ田舎に引っ越すが光回線などない、敷設される見込みもないということで
アナログ電話回線はあるからADSLに申し込むか思案中

ミドルキック(ジパング) **[US]** · 2020/11/30(月) 11:56:36.09

管理者ログインではいると、機能が増えるみたいだなw

インターネットに最初に接続するサイトも変えられるんだとよ

いきなり有料エロサイト誘導は勘弁してくれよw

2020/11/30(月) 12:06:48.30

これってソニー系だっけ？
別のところ？

2020/11/30(月) 12:10:45.62

>>194
そもそもISP上位ルータで許可してるのかなっ？てこと。ユーザー向けの53番とか閉じてるでしょ。オープンリゾルバ対策で。

ウエスタンラリアット(埼玉県) **[ﾆﾀﾞ]** · 2020/11/30(月) 12:22:34.67

>>197
ソニーネットワークコミュニケーションズ
so-netとNURO両方

垂直落下式DDT(愛知県) **[US]** · 2020/11/30(月) 13:04:19.14

うち賃貸だから大家からニューロＮＧが出て良かった
フレッツ万歳

ラケブラーダ(東京都) **[CA]** · 2020/11/30(月) 13:24:50.04

自宅に設置した市販ルータのログイン並びにWifi接続用PWをデフォルトから英字大文字小文字数字記号10文字以上に設定している者のみ、Nuroに石を投げなさい

ファーウェイは感心せんけどそもそもみんなが使ってるケータイの基地局だってサムスンファーウェイまみれという事実
特定アジアがその気になればお前の肛門のシワの数だってすぐバレるぞ

ダイビングエルボードロップ(京都府) **[US]** · 2020/11/30(月) 13:35:00.11

小卒ﾎﾓ近平主席　「ほらよｗ　ﾁｬﾘﾝ♪　ﾁｬﾘ～ﾝ♪」
中卒五毛党　「ありがてぇｗ　ありがてぇｗ　月収4万円だからありがてぇｗ」
高卒五毛党　「ありがてぇｗ　月収6万円だからありがてぇｗ」
大卒五毛党　「ありがてぇｗ　月収8万円だからありがてぇｗ」
無毛受刑者　「ありがてぇw 刑期が減るらしいからありがてぇw」

五毛の月収も半分になりそうやなｗ

ブラディサンデー(ジパング) **[JP]** · 2020/11/30(月) 13:54:06.77

本日NURO 光マンションの開通工事なのに何なの

エメラルドフロウジョン(福岡県) **[SA]** · 2020/11/30(月) 15:38:55.58

そう言えば前にTP-LINK無線LANルーターもバックドアが仕掛られたよなw修正の予定無しってヤバすぎw

ニーリフト(ジパング) **[US]** · 2020/11/30(月) 17:04:19.15

NUROは2回工事あるからめんどいよな

アキレス腱固め(静岡県) **[US]** · 2020/11/30(月) 17:21:11.86

>>195
ADSLは多分もうどこも新規受付していないんじゃね

キドクラッチ(東京都) **[BR]** · 2020/11/30(月) 17:31:46.98

root権限取得済みのバックドアってこと？

ヒップアタック(大阪府) **[US]** · 2020/11/30(月) 17:37:35.48

>>206
NTTが2023年1月31日で終了と言ってるのは光回線提供エリアでの話であってADSL完全終了ではない
プロバイダもまだ各社やってるようだ

2020/11/30(月) 17:58:46.43

工事直前だったので工事キャンセル＆退会した。
サポートが実質チャットのみだけど、対応が良かっただけになんか残念な感じだなぁ。
日本製のONU採用したら教えてくれ。乗り換えるから。

ウエスタンラリアット(東京都) **[US]** · 2020/11/30(月) 18:09:38.34

これはファーウェイのデフォルト仕様だよ。何を言ってるのか意味不明。スレ建てることではない。

ミッドナイトエクスプレス(鳥取県) **[SI]** · 2020/11/30(月) 18:18:15.46

>>1
＞脆弱性が報告されているのはHuawei製の「HG8045Q」

また中国共産党企業のスパイ端末か！

ダイビングフットスタンプ(兵庫県) **[BG]** · 2020/11/30(月) 18:23:33.07

原神とかインストしてたら
もう内側から穴開けられてそうだな

ダイビングフットスタンプ(兵庫県) **[BG]** · 2020/11/30(月) 18:23:33.50

原神とかインストしてたら
もう内側から穴開けられてそうだな

トラースキック(熊本県) **[MX]** · 2020/11/30(月) 18:24:40.93

管理者権限で抜かれたらどうしようもないもんな

デンジャラスバックドロップ(東京都) **[DE]** · 2020/11/30(月) 18:27:11.50

安い光コラボで700M出てるから不満なし
コロナ禍の中ADSL速度落ちまくって辛かった
乗り換えて良かった

スリーパーホールド(東京都) **[US]** · 2020/11/30(月) 18:40:49.85

>>212
ガバガバですよ

ヒップアタック(千葉県) **[US]** · 2020/11/30(月) 20:25:47.21

本日マンション開通
ZTEでした
誇り高き横浜なのに県名表示が臭すぎて草

スリーパーホールド(東京都) **[US]** · 2020/11/30(月) 20:33:45.80

>>217
千葉なのバレバレ

カノープス(静岡県) **[US]** · 2020/12/01(火) 02:09:51.89

>>208
NTTは少なくとも新規受付していないはずやで

宇宙定数(神奈川県) **[US]** · 2020/12/01(火) 02:31:04.42

申し込みから宅内工事まではすんなりいったけど、屋外工事が確認中ステータスから変わる気配がなく二週間経過で待ちぼうけ

ガーネットスター(兵庫県) **[US]** · 2020/12/01(火) 03:15:41.04

NUROにしようと思ってたけどここでクソみたいな評判見てやめたわ

北アメリカ星雲(大阪府) **[US]** · 2020/12/01(火) 11:08:24.22

>>221
eo光が引けるなら完全に一択だ迷うな

eo光の超快適な生活（約12年）
→引っ越しでフレッツ隼のクッソゲロ遅いぼったくりにいらつく（約5年）
→NUROが来てまあまあ快適（約2年） ←いまここ
eoに戻りてえ

冥王星(兵庫県) **[US]** · 2020/12/01(火) 13:29:15.15

き、、脆弱

エウロパ(東京都) **[ﾆﾀﾞ]** · 2020/12/01(火) 13:31:27.18

>>187
だろうなｗ

高輝度青色変光星(ジパング) **[US]** · 2020/12/01(火) 13:36:22.34

管理者ログインで、機能が増えてワロタ

ルーティングが細かく設定できる、ネットをコントロールできるわ

でも、ログイン名パスワード変える場合は、ファーウェイに連絡しろと

ファーwww

ベガ(茸) **[US]** · 2020/12/01(火) 13:56:31.83

>>225
これマジ？

ファーウェイに管理者アカウント通知する必要なんてないだろ

宇宙定数(宮崎県) **[GB]** · 2020/12/02(水) 07:57:33.44

あんだけ騒がれたのにいまだにファーウェイ扱ってたのか
相変わらずの親中企業だな

水メーザー天体(大阪府) **[US]** · 2020/12/02(水) 08:03:30.22

固定IPだから嫌い

ガニメデ(福岡県) **[GB]** · 2020/12/02(水) 08:06:58.08

NUROのONU使いにくいから変えてくれ

ソンブレロ銀河(コロン諸島) **[ﾆﾀﾞ]** · 2020/12/02(水) 08:11:42.36

？仕様だろ？

2020/12/02(水) 08:21:36.59

いまだにNUROは、HUAWEIかZTEの2択なの？

チタニア(東京都) **[CN]** · 2020/12/02(水) 08:27:49.32

>>228
まったく変えられないの？

デネブ・カイトス(北海道) **[EU]** · 2020/12/02(水) 08:27:55.68

確実に支那共産党に情報抜かれてるな

ミザール(やわらか銀行) **[CA]** · 2020/12/02(水) 09:16:22.38

管理者権限で習近平とお友達になれるキャンペーン中ｗｗｗ

2020/12/02(水) 11:17:04.13

うちのau光は終端もルーターもNECだわ。

2020/12/02(水) 11:36:21.69

機器がHUAWEI,ZTEで避けてたが、運営のソニーも地雷だったか
やっぱり安心のフレッツだな

ヒドラ(東京都) **[US]** · 2020/12/02(水) 12:40:42.79

今回の内容はサービスメニューに入るためのアカウント・パスワード判明を発端に、
SSHでルート権限が必要なコマンドが使えることが確認できたという内容。
しかし数種の条件が揃わないと実行できないから、大騒ぎするほどではない。

そんなことより、華為謹製のONU＋ルーター＋WiFiAPが一体のHGWなもんで、
オンラインファーム更新で、どんな細工を入れられるかわからん不安のほうが
よほど大きい。

グリーゼ581c(東京都) **[ﾆﾀﾞ]** · 2020/12/02(水) 12:58:41.55

それじゃテレビのサービスマンモードへの入り方が分かった。
というのと大して変わらんやん。

パルサー(ジパング) **[US]** · 2020/12/02(水) 13:29:23.38

やっぱり中華製の0NUやルーターはヤバいんやね

TP-LINKって中国企業はルーター世界最大手なんだけどバックドアに問題が有る.. https://anond.hatelabo.jp/20190406192011