1 :名無しさん必死だな:2020/11/29(日) 07:16:22.63 ID:vNnMC4q+0.net
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
目次
◆1:「HG8045Q」の脆弱性の指摘
◆2:脆弱性を確認してみた
◆3:新たな脆弱性を発見
◆4:脆弱性の報告とNURO光の対応
◆1:「HG8045Q」の脆弱性の指摘
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。
HG8045Qはウェブ管理画面からさまざまな設定を行うことが可能で、通常は「admin」というユーザー名と自身で設定したパスワードを用いて、管理画面にログインします。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/010.png
ウェブ管理画面では、ONUのシリアル番号やファームウェアのバージョンといった機器の情報を確認したり……
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/020_m.png
再起動などを行ったりすることが可能です。
しかし、この管理画面には「隠された機能」が存在しており、その機能はNURO光側で所有する「管理者アカウント」でログインすれば有効化できるとのこと。
Orsholits氏はHG8045Qを解析し、管理者アカウントのIDとパスワードを特定する方法を公開しています。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/030_m.png
https://gigazine.net/news/20201128-nuro-onu-vulnerablity/
5 :名無しさん必死だな:2020/11/29(日) 07:21:42.84 ID:HsLFtuV70.net
ソニーはオープンワールド大好きだな
8 :名無しさん必死だな:2020/11/29(日) 07:25:58.30 ID:vNnMC4q+0.net
要約すると
・NURO 光の管理者アカウント&パスワードが特定される
・さらにroot権限によるコマンド実行が可能になってしまう
・ソニーに脆弱性を報告したら「知らん。修正もせんわ」とのこと
9 :名無しさん必死だな:2020/11/29(日) 07:27:13.93 ID:HD//hKeL0.net
何の驚きもないいつものソニーだな
13 :名無しさん必死だな:2020/11/29(日) 07:39:43.08 ID:+ZXwk9scp.net
まぁユーザーにはあんま被害無さそうだな
14 :名無しさん必死だな:2020/11/29(日) 07:40:43.01 ID:a44UGZZK0.net
バカが一人いればネットワーク掌握できるってことよね
15 :名無しさん必死だな:2020/11/29(日) 07:41:10.59 ID:RsVvuIp80.net
物理的に端末見られないとわからないしね
16 :名無しさん必死だな:2020/11/29(日) 07:42:30.18 ID:qbIwm/WY0.net
昔PSストアでもクレカお漏らししたし、ここのサービスは全く信用ならんな
絶対入りたくない
17 :びー太 :2020/11/29(日) 07:42:55.65 ID:BiDt4TBQ0.net
だってソニーだからな
バックドアはあるに決まってる
18 :名無しさん必死だな:2020/11/29(日) 07:48:47.04 ID:foO0L9Py0.net
ソニー製品買うのが悪い
ソニーに個人情報渡すのが悪い
19 :名無しさん必死だな:2020/11/29(日) 07:49:08.95 ID:ZXm+sewF0.net
NURO光ぢて以前からセキュリティに問題あると指摘されてた記憶
今回のはまた別件っぽい?
20 :名無しさん必死だな:2020/11/29(日) 07:52:34.49 ID:W6DDtqM60.net
物理的にどうにかしないと出来ないならまあ
それもネット上で出来ちゃうのにこれだったらもっと騒げた
21 :名無しさん必死だな:2020/11/29(日) 07:53:03.01 ID:ZgnuoCrOM.net
真のオープンワールド
22 :名無しさん必死だな:2020/11/29(日) 07:53:04.25 ID:Ng7DDP7D0.net
中国にだだ漏れだなこりゃ
23 :名無しさん必死だな:2020/11/29(日) 07:56:04.95 ID:Tu7RV3qiM.net
ソニーに個人情報預けるとか正気じゃない
25 :名無しさん必死だな:2020/11/29(日) 07:57:31.35 ID:Hf5M8MAod.net
NURO光ファイバーってhuaweiなんだ
26 :名無しさん必死だな:2020/11/29(日) 07:58:27.70 ID:ZXm+sewF0.net
トレンドにも上がってきてるね
27 :名無しさん必死だな:2020/11/29(日) 08:01:28.40 ID:FfnOCyWV0.net
お前ら茶化してるけど
これ洒落にならないくらいヤバいんだけどな
28 :名無しさん必死だな:2020/11/29(日) 08:03:47.37 ID:cyfofQbXM.net
いくらヤバかろうがダンマリで終了でしょ
30 :名無しさん必死だな:2020/11/29(日) 08:05:56.24 ID:PX+AolEu0.net
チョニーはぎじゅつりょくwww
ないからなwww
31 :名無しさん必死だな:2020/11/29(日) 08:10:55.41 ID:8S3UMcXx0.net
ソニー&ファーウェイ 夢の共演
34 :名無しさん必死だな:2020/11/29(日) 08:16:03.48 ID:qLOhDWJ70.net
Nuro契約してて情強ぶってるアホいるよな
35 :名無しさん必死だな:2020/11/29(日) 08:17:21.00 ID:OOiVLE2HM.net
どこだったら情強なのよ
36 :名無しさん必死だな:2020/11/29(日) 08:18:16.46 ID:aFVxepbd0.net
やっぱりスレ立ったかw
脆弱性指摘したのに修正はしませんって…
37 :名無しさん必死だな:2020/11/29(日) 08:19:26.95 ID:NvAS4sQY0.net
中国共産党とソニーってそっくりだな
38 :名無しさん必死だな:2020/11/29(日) 08:27:52.30 ID:z/h3WHb+0.net
NURO光って早いのが売りでしょ
NURRO光以外なら何に入るんですか?
自分は田舎だからNURO来ていない。。
40 :名無しさん必死だな:2020/11/29(日) 08:37:12.56 ID:yNrtThW7M.net
戦法というよりいつもの「うちソニ」案件でしょ
41 :名無しさん必死だな:2020/11/29(日) 08:37:25.65 ID:HpIMSe/q0.net
これは被害に遭う前にソニー損保に加入してねというソニーからのメッセージだな
43 :名無しさん必死だな:2020/11/29(日) 08:38:09.96 ID:7LVDgl5x0.net
>Huawei製の「HG8045Q」
NURO光って馬鹿なのかな?
45 :名無しさん必死だな:2020/11/29(日) 08:51:22.60 ID:ieYtgB4H0.net
バックドア仕込んでる上にこの対応のNUROは終わってるが
レンタルのONUに勝手に管理者アカウントとやらでログインしてるGIGAZINEも法律的に大丈夫なの?これ
46 :名無しさん必死だな:2020/11/29(日) 08:52:27.90 ID:YT72mhqY0.net
NURO光を使っている情弱です
オススメの乗り換え先はどこですか(´;ω;`)?
47 :名無しさん必死だな:2020/11/29(日) 08:54:46.06 ID:fYYVNi2c0.net
もれなくルーターにHuaweiがついてくるという時点で終わってる
48 :名無しさん必死だな:2020/11/29(日) 08:56:54.84 ID:muOHcFG20.net
テザリングや無料WiFiでゲーム落としてる豚には理解できてないやろな
49 :名無しさん必死だな:2020/11/29(日) 08:58:37.37 ID:9pEPt7R4d.net
個人向けのnuroは散々ゴミって言われてたからな
営業、サポート、ルーター、全部ゴミ
50 :名無しさん必死だな:2020/11/29(日) 08:59:14.41 ID:pxC+P4ef0.net
NURO光の勧誘電話がかかってきたら
この話すればいいのね
52 :名無しさん必死だな:2020/11/29(日) 09:10:05.12 ID:poXy4BI2a.net
HUAWEI製ONUかな?っ予想したけど案の定だった
やっぱHUAWEI製がヤバいって証明されたね
中国製通信機器を規制してもらえるよう行政機関に働きかけをした方が良さそう
54 :名無しさん必死だな:2020/11/29(日) 09:18:29.81 ID:tNPxO5I60.net
さすソニー
57 :名無しさん必死だな:2020/11/29(日) 09:21:27.73 ID:gdJ2iZsY0.net
ソニーとファーウェイの夢のコラボ
58 :名無しさん必死だな:2020/11/29(日) 09:31:25.64 ID:FlQZPuR00.net
アメリカでごたごたしてるのにHUAWEI排除できない弱小企業
59 :名無しさん必死だな:2020/11/29(日) 09:34:25.13 ID:aiwObqhL0.net
排除できない じゃなく、したくないんだろうね
61 :名無しさん必死だな:2020/11/29(日) 09:59:35.96 ID:sCv5hVp/0.net
確認したら俺のは安全安心のZTEだった(棒)
62 :名無しさん必死だな:2020/11/29(日) 10:03:53.12 ID:Jkcsp8kdM.net
今日は日曜だから対応は週明けまで待っててね
63 :名無しさん必死だな:2020/11/29(日) 10:04:59.72 ID:qsMc9uPK0.net
nuro光とか情弱以外使わないやつやん
64 :名無しさん必死だな:2020/11/29(日) 10:06:44.88 ID:Jhg2fwl60.net
ヤバすぎるだろ……
65 :名無しさん必死だな:2020/11/29(日) 10:09:00.31 ID:IA4VuFqZa.net
・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
たとえこんなこと言われても関係ない
カプコンの件といいいつものGIGAZINEだな
66 :名無しさん必死だな:2020/11/29(日) 10:10:31.90 ID:uEy056CT0.net
富士通もNECもパナソニックISP事業切り売りしたのに
クソニだけ未だに継続してるのなんで?
68 :名無しさん必死だな:2020/11/29(日) 10:21:01.83 ID:JWIBVJZ40.net
ネタが遅えよ。
もう半月前の話題だぞこれ
onuをブリッジにしたり出来るけどまともに動かん。
あと結局外部から試すなら直繋ぎかwifi繋ぎしなきゃならんから大した意味は無い。
71 :名無しさん必死だな:2020/11/29(日) 10:30:42.66 ID:xI0T2osna.net
怖いなこれ
72 :名無しさん必死だな:2020/11/29(日) 10:44:55.97 ID:S1ojAjlR0.net
後でこっそりと対応しそう
74 :名無しさん@お腹いっぱい。:2020/11/29(日) 11:11:00.87 ID:5FMxVGzJs
NURO光は勧誘で『NTT関係者ですが』と平気でうそをつくからな
サクラとか性能詐欺じゃなくてガチの詐欺勧誘を受けるとは思わなかった
元スレ https://anago.2ch.sc/test/read.cgi/ghard/1606601782/
コメントする