1 :名無しさん必死だな:2020/11/29(日) 07:16:22.63 ID:vNnMC4q+0.net

ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。

目次
◆1:「HG8045Q」の脆弱性の指摘
◆2:脆弱性を確認してみた
◆3:新たな脆弱性を発見
◆4:脆弱性の報告とNURO光の対応

◆1:「HG8045Q」の脆弱性の指摘
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。

HG8045Qはウェブ管理画面からさまざまな設定を行うことが可能で、通常は「admin」というユーザー名と自身で設定したパスワードを用いて、管理画面にログインします。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/010.png

ウェブ管理画面では、ONUのシリアル番号やファームウェアのバージョンといった機器の情報を確認したり……
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/020_m.png

再起動などを行ったりすることが可能です。
しかし、この管理画面には「隠された機能」が存在しており、その機能はNURO光側で所有する「管理者アカウント」でログインすれば有効化できるとのこと。
Orsholits氏はHG8045Qを解析し、管理者アカウントのIDとパスワードを特定する方法を公開しています。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/030_m.png

https://gigazine.net/news/20201128-nuro-onu-vulnerablity/



5 :名無しさん必死だな:2020/11/29(日) 07:21:42.84 ID:HsLFtuV70.net

ソニーはオープンワールド大好きだな



8 :名無しさん必死だな:2020/11/29(日) 07:25:58.30 ID:vNnMC4q+0.net

要約すると

・NURO 光の管理者アカウント&パスワードが特定される
・さらにroot権限によるコマンド実行が可能になってしまう
・ソニーに脆弱性を報告したら「知らん。修正もせんわ」とのこと



9 :名無しさん必死だな:2020/11/29(日) 07:27:13.93 ID:HD//hKeL0.net

何の驚きもないいつものソニーだな



13 :名無しさん必死だな:2020/11/29(日) 07:39:43.08 ID:+ZXwk9scp.net

まぁユーザーにはあんま被害無さそうだな



14 :名無しさん必死だな:2020/11/29(日) 07:40:43.01 ID:a44UGZZK0.net

バカが一人いればネットワーク掌握できるってことよね



15 :名無しさん必死だな:2020/11/29(日) 07:41:10.59 ID:RsVvuIp80.net

物理的に端末見られないとわからないしね



16 :名無しさん必死だな:2020/11/29(日) 07:42:30.18 ID:qbIwm/WY0.net

昔PSストアでもクレカお漏らししたし、ここのサービスは全く信用ならんな
絶対入りたくない



17 :びー太 :2020/11/29(日) 07:42:55.65 ID:BiDt4TBQ0.net

だってソニーだからな
バックドアはあるに決まってる



18 :名無しさん必死だな:2020/11/29(日) 07:48:47.04 ID:foO0L9Py0.net

ソニー製品買うのが悪い

ソニーに個人情報渡すのが悪い



19 :名無しさん必死だな:2020/11/29(日) 07:49:08.95 ID:ZXm+sewF0.net

NURO光ぢて以前からセキュリティに問題あると指摘されてた記憶
今回のはまた別件っぽい?



20 :名無しさん必死だな:2020/11/29(日) 07:52:34.49 ID:W6DDtqM60.net

物理的にどうにかしないと出来ないならまあ
それもネット上で出来ちゃうのにこれだったらもっと騒げた



21 :名無しさん必死だな:2020/11/29(日) 07:53:03.01 ID:ZgnuoCrOM.net

真のオープンワールド



22 :名無しさん必死だな:2020/11/29(日) 07:53:04.25 ID:Ng7DDP7D0.net

中国にだだ漏れだなこりゃ



23 :名無しさん必死だな:2020/11/29(日) 07:56:04.95 ID:Tu7RV3qiM.net

ソニーに個人情報預けるとか正気じゃない



25 :名無しさん必死だな:2020/11/29(日) 07:57:31.35 ID:Hf5M8MAod.net

NURO光ファイバーってhuaweiなんだ



26 :名無しさん必死だな:2020/11/29(日) 07:58:27.70 ID:ZXm+sewF0.net

トレンドにも上がってきてるね



27 :名無しさん必死だな:2020/11/29(日) 08:01:28.40 ID:FfnOCyWV0.net

お前ら茶化してるけど
これ洒落にならないくらいヤバいんだけどな



28 :名無しさん必死だな:2020/11/29(日) 08:03:47.37 ID:cyfofQbXM.net

いくらヤバかろうがダンマリで終了でしょ



30 :名無しさん必死だな:2020/11/29(日) 08:05:56.24 ID:PX+AolEu0.net

チョニーはぎじゅつりょくwww

ないからなwww



31 :名無しさん必死だな:2020/11/29(日) 08:10:55.41 ID:8S3UMcXx0.net

ソニー&ファーウェイ 夢の共演



34 :名無しさん必死だな:2020/11/29(日) 08:16:03.48 ID:qLOhDWJ70.net

Nuro契約してて情強ぶってるアホいるよな



35 :名無しさん必死だな:2020/11/29(日) 08:17:21.00 ID:OOiVLE2HM.net

どこだったら情強なのよ



36 :名無しさん必死だな:2020/11/29(日) 08:18:16.46 ID:aFVxepbd0.net

やっぱりスレ立ったかw
脆弱性指摘したのに修正はしませんって…



37 :名無しさん必死だな:2020/11/29(日) 08:19:26.95 ID:NvAS4sQY0.net

中国共産党とソニーってそっくりだな



38 :名無しさん必死だな:2020/11/29(日) 08:27:52.30 ID:z/h3WHb+0.net

NURO光って早いのが売りでしょ
NURRO光以外なら何に入るんですか?
自分は田舎だからNURO来ていない。。



40 :名無しさん必死だな:2020/11/29(日) 08:37:12.56 ID:yNrtThW7M.net

戦法というよりいつもの「うちソニ」案件でしょ



41 :名無しさん必死だな:2020/11/29(日) 08:37:25.65 ID:HpIMSe/q0.net

これは被害に遭う前にソニー損保に加入してねというソニーからのメッセージだな



43 :名無しさん必死だな:2020/11/29(日) 08:38:09.96 ID:7LVDgl5x0.net

>Huawei製の「HG8045Q」

NURO光って馬鹿なのかな?



45 :名無しさん必死だな:2020/11/29(日) 08:51:22.60 ID:ieYtgB4H0.net

バックドア仕込んでる上にこの対応のNUROは終わってるが
レンタルのONUに勝手に管理者アカウントとやらでログインしてるGIGAZINEも法律的に大丈夫なの?これ



46 :名無しさん必死だな:2020/11/29(日) 08:52:27.90 ID:YT72mhqY0.net

NURO光を使っている情弱です
オススメの乗り換え先はどこですか(´;ω;`)?



47 :名無しさん必死だな:2020/11/29(日) 08:54:46.06 ID:fYYVNi2c0.net

もれなくルーターにHuaweiがついてくるという時点で終わってる



48 :名無しさん必死だな:2020/11/29(日) 08:56:54.84 ID:muOHcFG20.net

テザリングや無料WiFiでゲーム落としてる豚には理解できてないやろな



49 :名無しさん必死だな:2020/11/29(日) 08:58:37.37 ID:9pEPt7R4d.net

個人向けのnuroは散々ゴミって言われてたからな
営業、サポート、ルーター、全部ゴミ



50 :名無しさん必死だな:2020/11/29(日) 08:59:14.41 ID:pxC+P4ef0.net

NURO光の勧誘電話がかかってきたら
この話すればいいのね



52 :名無しさん必死だな:2020/11/29(日) 09:10:05.12 ID:poXy4BI2a.net

HUAWEI製ONUかな?っ予想したけど案の定だった
やっぱHUAWEI製がヤバいって証明されたね
中国製通信機器を規制してもらえるよう行政機関に働きかけをした方が良さそう



54 :名無しさん必死だな:2020/11/29(日) 09:18:29.81 ID:tNPxO5I60.net

さすソニー



57 :名無しさん必死だな:2020/11/29(日) 09:21:27.73 ID:gdJ2iZsY0.net

ソニーとファーウェイの夢のコラボ



58 :名無しさん必死だな:2020/11/29(日) 09:31:25.64 ID:FlQZPuR00.net

アメリカでごたごたしてるのにHUAWEI排除できない弱小企業



59 :名無しさん必死だな:2020/11/29(日) 09:34:25.13 ID:aiwObqhL0.net

排除できない じゃなく、したくないんだろうね



61 :名無しさん必死だな:2020/11/29(日) 09:59:35.96 ID:sCv5hVp/0.net

確認したら俺のは安全安心のZTEだった(棒)



62 :名無しさん必死だな:2020/11/29(日) 10:03:53.12 ID:Jkcsp8kdM.net

今日は日曜だから対応は週明けまで待っててね



63 :名無しさん必死だな:2020/11/29(日) 10:04:59.72 ID:qsMc9uPK0.net

nuro光とか情弱以外使わないやつやん



64 :名無しさん必死だな:2020/11/29(日) 10:06:44.88 ID:Jhg2fwl60.net

ヤバすぎるだろ……



65 :名無しさん必死だな:2020/11/29(日) 10:09:00.31 ID:IA4VuFqZa.net

・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない

たとえこんなこと言われても関係ない
カプコンの件といいいつものGIGAZINEだな



66 :名無しさん必死だな:2020/11/29(日) 10:10:31.90 ID:uEy056CT0.net

富士通もNECもパナソニックISP事業切り売りしたのに
クソニだけ未だに継続してるのなんで?



68 :名無しさん必死だな:2020/11/29(日) 10:21:01.83 ID:JWIBVJZ40.net

ネタが遅えよ。
もう半月前の話題だぞこれ

onuをブリッジにしたり出来るけどまともに動かん。
あと結局外部から試すなら直繋ぎかwifi繋ぎしなきゃならんから大した意味は無い。



71 :名無しさん必死だな:2020/11/29(日) 10:30:42.66 ID:xI0T2osna.net

怖いなこれ



72 :名無しさん必死だな:2020/11/29(日) 10:44:55.97 ID:S1ojAjlR0.net

後でこっそりと対応しそう



74 :名無しさん@お腹いっぱい。:2020/11/29(日) 11:11:00.87 ID:5FMxVGzJs

NURO光は勧誘で『NTT関係者ですが』と平気でうそをつくからな
サクラとか性能詐欺じゃなくてガチの詐欺勧誘を受けるとは思わなかった



元スレ https://anago.2ch.sc/test/read.cgi/ghard/1606601782/