NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」

1 ::2020/11/29(日) 13:50:34.47 ID:BONjk1jY0.net ?2BP(5000)
https://img.5ch.net/ico/u_pata.gif
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。

https://gigazine.net/news/20201128-nuro-onu-vulnerablity/

12 ::2020/11/29(日) 13:56:58.20 ID:kEPqXytH0.net

NURO10月に電話したのにまだ開通しねぇ…
そのうえこれかよ…

19 ::2020/11/29(日) 13:59:54.80 ID:RX/ggtKu0.net

>>12
やめとけ。俺は半年かかって工事日も調整し宅内工事終わった後
さらに2ヶ月待たされた挙句最終的に無理って言われた
サポート電話つながるのに一時間待ち当たり前だし本当にクソだぞ

35 ::2020/11/29(日) 14:06:46.03 ID:txUWbhZc0.net

>>19
そういう話さんざん読んでたから親が引きたいといったときもそういう事例を教えてやめとけばと言った
そしたらなぜか申込みからサクサク2週間で開通してしまい俺がネットに踊らされてるバカみたいな扱いになっててかなしい

まあ俺んちは使えないし今のKDDIで不満ないから申し込まないけど

38 ::2020/11/29(日) 14:07:45.18 ID:DwUhd0oC0.net

>>19
オレも似たような対応されてやめたわ

44 ::2020/11/29(日) 14:11:21.16 ID:OgMQ3jNk0.net

>>19
一時間待ち?早いな
俺は2時間待たされたぞwいつ何時にかけてもろくに繋がらないから意地で待った
ようやく出てきたのはテンプレ3パターンしか答えないクソ対応w
項目ごとに問い合わせ電話番号違うし公表してない番号ばっかり
そして何一つ進まずこっちから解約した時には一年経過してたわ
申し込み後の客からの電話、メール問い合わせを絶対させない意思を強く感じたわ

40 ::2020/11/29(日) 14:09:21.28 ID:GgE8tg360.net

>>12
なんで電話なの?
Webで自分で工事日の予約したら申し込みからすぐだったけどな?
屋外宅内どっちも

88 ::2020/11/29(日) 15:00:23.76 ID:Ya1Bsfnt0.net

>>40
もちろん問題なくスムーズにできる事はあるだろうけど、被害者はかなりいる。

182 ::2020/11/30(月) 01:19:11.09 ID:kMX/v2s50.net

>>88
説明がわかりづらいのはあるだろうけど
Nuroからの電話なんて待ってないで自分でログインして空き日のカレンダーから工事希望日選択する形で予約できるんだよ
それ知らない人たちが向こうから電話が来ない来ないって騒いでるのをちょくちょく見かける
電話なんて待ってないで自分でWebから予約しろと

101 ::2020/11/29(日) 15:16:35.20 ID:cGBQwgH20.net

WANからログインされるわけじゃないんだろう?
NUROのセキュリティ意識が低いのはわかったが

113 ::2020/11/29(日) 16:00:15.21 ID:xrcDBVTF0.net

>>101
内側にシナチョンの工作員ゼロかどうかは怪しいな。

128 ::2020/11/29(日) 16:38:29.43 ID:ZcZlS4VM0.net

>>101
WAN側からSSH経由でONUにログインされるって。NuroがONUの設定に使うツールとの事。
実際、ipv4経由でso-netのネットワークにsshで入り込めるとは、思わないけどな。

131 ::2020/11/29(日) 16:43:16.81 ID:cGBQwgH20.net

>>128
あり得るのか
ONU自体がわんさかトラフィック生成してなきゃMACわからないだろうけど

132 ::2020/11/29(日) 16:44:34.75 ID:evkxmI1J0.net

>>128
NUROって直にグローバルIPアドレスが振られるようにははなってないのか

136 ::2020/11/29(日) 17:22:34.02 ID:7TOjJEKL0.net

>>128
WAN側からのSSHアクセスはデフォでは無理

142 ::2020/11/29(日) 17:41:49.77 ID:CIAM17Ny0.net

悲報 我々のADSLがダイヤルアップに負ける
https://dotup.org/uploda/dotup.org2321016.gif

146 ::2020/11/29(日) 18:12:03.10 ID:IaY6G+r30.net

>>142
ダイヤルうpが伸びてるそのこころは何ぞや。

149 ::2020/11/29(日) 18:18:18.42 ID:CIAM17Ny0.net

>>146
           _____________
   ___   /
 /´∀`;:::\< 呼んだ?
/    /::::::::::| |
| ./|  /:::::|::::::| \_____________
| ||/::::::::|::::::|

195 ::2020/11/30(月) 11:56:21.40 ID:otuXL+Cc0.net

>>142
クッソ田舎に引っ越すが光回線などない、敷設される見込みもないということで
アナログ電話回線はあるからADSLに申し込むか思案中

206 ::2020/11/30(月) 17:21:11.86 ID:EKrHP3e10.net

>>195
ADSLは多分もうどこも新規受付していないんじゃね

1 ::2020/11/29(日) 13:50:34.47 ID:BONjk1jY0.net ?2BP(5000)

https://img.5ch.net/ico/u_pata.gif
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。

https://gigazine.net/news/20201128-nuro-onu-vulnerablity/

111 ::2020/11/29(日) 15:56:24.49 ID:yoyigVib0.net

>>1
>・2020年11月9日:NURO光から再び折り返しの電話あり、11月5日と同じ責任者から「NURO側から正式に『脆弱性は修正しない』という回答があった」との返答

問い合わせから約2週間後にNURO光から得られた最終的な回答は以下。

・特定されたアカウントはNURO光の管理者アカウントだが、直ちに外部から不正なアクセスをされるわけではないので修正などの対応はしない
・管理者アカウントを利用して不具合が発生しても、NURO光側としては一切のサポートはしない
・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
・2020年10月19日にアナウンスしたファームウェアアップデートでも、脆弱性の修正は行っていない


投げ槍にも程があるだろ。

211 ::2020/11/30(月) 18:18:15.46 ID:X5hrgLud0.net

>>1
>脆弱性が報告されているのはHuawei製の「HG8045Q」

また中国共産党企業のスパイ端末か!

127 ::2020/11/29(日) 16:35:20.64 ID:DoPdu05c0.net

結局速く快適なネットは何処なのよ?縛りがあと2年あるから更新月で変えるわ

135 ::2020/11/29(日) 16:59:08.77 ID:9jLXXpcc0.net

>>127
フレッツのIPoEは快適、マンション光引き込みタイプで
常時600Mbpsオーバー出てる
IPアドレスが基本的に固定されることがネックかな
それ以外だと電力系がいいだろうけど、関東圏だとauになるのかな
ただし、古い賃貸物件だとマンション内電話線分配だったり、ラストワンマイルで
品質は変わるからサービスよりも住んでいる物件、環境のほうが重要

144 ::2020/11/29(日) 17:48:09.89 ID:DoPdu05c0.net

>>135
そうなのか、戸建てだからそこら辺は大丈夫だがスマホauじゃないしフレッツにしようかな

154 ::2020/11/29(日) 18:29:01.60 ID:hO0e/Epo0.net

>>127
auひかり ホーム10ギガ・5ギガ
https://www.au.com/internet/auhikari_10-5g/
↑auひかりは結構前から提供されてて普通に評判良い

フレッツ 光クロス
https://flets.com/cross/
これは今年の春から提供開始してる
評判はわからん

121 ::2020/11/29(日) 16:12:37.07 ID:evkxmI1J0.net

NURO BizとNUROは違うらしいけど、個人契約は出来るのかね?

124 ::2020/11/29(日) 16:16:32.35 ID:hO0e/Epo0.net

>>121
bizは法人じゃないと契約できない
例えば個人事業主ではNG

133 ::2020/11/29(日) 16:45:05.21 ID:evkxmI1J0.net

>>124
そうなのか。残念。

46 ::2020/11/29(日) 14:12:42.24 ID:J5idJL0V0.net

そろそろADSL終わるからこれ契約するか悩んでたんだけど
やばいのこれ?

83 ::2020/11/29(日) 14:48:25.46 ID:7x/gHxPL0.net

>>46
俺は楽天モバイルにするわ
30Mくらいしか出ないけどADSLよりは速いし

122 ::2020/11/29(日) 16:13:17.30 ID:4UQ9ihXq0.net

>>83
よっぽど田舎県とか(2年くらいはローミング解除されないとか)
楽天の基地局直下とかじゃないと
すぐに使えなくなるだろ

81 ::2020/11/29(日) 14:45:59.84 ID:joIPtEOx0.net

レンタルだし別のONUに交換したら良いんじゃないのか

84 ::2020/11/29(日) 14:50:05.85 ID:o2BCcZCs0.net

>>81
Huawei製かZTE製のどちらかが来る
工事当日までわからないしユーザーは選べない

87 ::2020/11/29(日) 14:52:57.06 ID:zDe4PRnn0.net

>>84
今は台湾のサーコムが追加されてる。
ガチャなのには変わりないけど。

95 ::2020/11/29(日) 15:08:08.32 ID:hO0e/Epo0.net

>>87
サーコム知らんかった
ウチはZTE

104 ::2020/11/29(日) 15:17:24.24 ID:cGBQwgH20.net

>>31
そういえば二重ルーターにするという逃げ道はある

169 ::2020/11/29(日) 21:30:35.80 ID:Hg+VtI9o0.net

>>104
ONU乗取られてデータ抜かれる場合、2重ルータとか意味ないぞ

141 ::2020/11/29(日) 17:26:53.31 ID:X53NlA9u0.net

このスレ中華の工作員わいとるな。

160 ::2020/11/29(日) 18:37:07.55 ID:yk26UJrE0.net

>>141
小卒ホモ近平主席 「ほらよw チャリン♪ チャリ〜ン♪」
中卒五毛党 「ありがてぇw ありがてぇw 月収4万円だからありがてぇw」
高卒五毛党 「ありがてぇw 月収6万円だからありがてぇw」
大卒五毛党 「ありがてぇw 月収8万円だからありがてぇw」
無毛受刑者 「ありがてぇw 刑期が減るらしいからありがてぇw」

↑こいつらはどこにでも湧くからねーw

175 ::2020/11/29(日) 22:36:35.49 ID:WuuwCtuQ0.net

これってwifi側からONUに管理者権限でログイン出来るってこと?
そうなら直ちに問題ありそうだけど。

184 ::2020/11/30(月) 05:32:38.55 ID:1y/NqVxh0.net

>>175
lan側からのみ。なので他社のONUと同じ。
大した問題ではない。

180 ::2020/11/29(日) 23:29:11.48 ID:aWaZeI2u0.net

WEPのポイントを決められたタイミングで起動すれように仕込んでおけば、簡単に内部ネットワークにアクセスできるよ。

185 ::2020/11/30(月) 05:52:54.17 ID:uTYUUENo0.net

>>180
2020年なのにwepって的外れ過ぎない?
もうwpa1すら使ってないのに…

187 ::2020/11/30(月) 06:55:31.99 ID:zaFz9S1f0.net

NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
(Huawei製の)NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」

肝心の部分がスレタイから抜かれてます わざとだろ?

224 ::2020/12/01(火) 13:31:27.18 ID:PBY0uyGz0.net

>>187
だろうなw

194 ::2020/11/30(月) 11:52:10.88 ID:XRDwRbxs0.net

>>191
ポート開放はONU付きルータで設定出来るようだけど、ルータのSSHには穴開け出来ないようになっているのかな

198 ::2020/11/30(月) 12:10:45.62 ID:lHODIkOe0.net

>>194
そもそもISP上位ルータで許可してるのかなっ?てこと。ユーザー向けの53番とか閉じてるでしょ。オープンリゾルバ対策で。

208 ::2020/11/30(月) 17:37:35.48 ID:otuXL+Cc0.net

>>206
NTTが2023年1月31日で終了と言ってるのは光回線提供エリアでの話であってADSL完全終了ではない
プロバイダもまだ各社やってるようだ

219 ::2020/12/01(火) 02:09:51.89 ID:vgtMPhL50.net

>>208
NTTは少なくとも新規受付していないはずやで

212 ::2020/11/30(月) 18:23:33.07 ID:Zm2kFOM70.net

原神とかインストしてたら
もう内側から穴開けられてそうだな

216 ::2020/11/30(月) 18:40:49.85 ID:QaxZjz6I0.net

>>212
ガバガバですよ

228 ::2020/12/02(水) 08:03:30.22 ID:BlPCgMRy0.net

固定IPだから嫌い

232 ::2020/12/02(水) 08:27:49.32 ID:6j213BHM0.net

>>228
まったく変えられないの?

54 ::2020/11/29(日) 14:20:11.86 ID:w3Yjqgyv0.net

回線屋内工事とかあるんだ
モジェラージャックオンリーの案件とか貴重だろうな

186 ::2020/11/30(月) 05:59:23.12 ID:7CH/wFBx0.net

>>54
フレッツの線とは完全に別の線引くからな

76 ::2020/11/29(日) 14:42:34.31 ID:3GyHsbo80.net

うちもNUROなんだがZTE製だったわ、まあこれも中華なんだが

80 ::2020/11/29(日) 14:45:51.08 ID:aABL24Qq0.net

>>76
ZTEも制裁くらったしくらいなおしたろ
ttps://jp.reuters.com/article/china-zte-us-ban-idJPKBN1IA3LW

97 ::2020/11/29(日) 15:11:07.60 ID:4Rso1rA/0.net

2月に申し込んで、宅内工事から半年経つけど、未だに宅外工事の日程決まらないなぁ

106 ::2020/11/29(日) 15:31:10.76 ID:u9QSZRyu0.net

>>97
えぇ・・・

100 ::2020/11/29(日) 15:15:59.42 ID:lUyU7gKR0.net

>>31
何言ってんだ?

103 ::2020/11/29(日) 15:16:44.68 ID:lUyU7gKR0.net

>>96
そんなもん調達すんのが悪い。

107 ::2020/11/29(日) 15:41:34.72 ID:rYCm/Tu/0.net

安かろう悪かろうの典型例だな。工事は遅いはそのうえキャンセルするはで乗り換えなくて良かった。

108 ::2020/11/29(日) 15:51:22.82 ID:x94ndNde0.net

ソニーの筆頭株主が、アメリカになった時点で終わったな

109 ::2020/11/29(日) 15:52:32.91 ID:5twsHM3xO.net

最近また頻繁にCM見かけるようになったな

110 ::2020/11/29(日) 15:54:07.91 ID:7TOjJEKL0.net

ルーティングテーブルが設定できないから
糞ONUだと思っていたのに、出来るんじゃねーか
隠し機能なんかにするなよ

114 ::2020/11/29(日) 16:01:04.98 ID:6J5Pd2uS0.net

ニューロ加速機、作動!

115 ::2020/11/29(日) 16:03:49.98 ID:50mywqYw0.net

「修正しない」のではなく、技術がなくて「修正できない」んじゃねーの

116 ::2020/11/29(日) 16:05:24.20 ID:4UQ9ihXq0.net

ファーウェイww

118 ::2020/11/29(日) 16:09:38.42 ID:wc+UU3Ra0.net

10年くらいフレッツハイスピードとかいうの使ってるけど
4Kもスムーズに見れるしダウンロードも1GBくらいなら数分で落ちてくるから
実用上なんの問題もない

119 ::2020/11/29(日) 16:11:26.65 ID:4UQ9ihXq0.net

>>31なんてのは
ADSLの時はモデムも買えたし

未だにADSLなら知らない可能性も…

120 ::2020/11/29(日) 16:11:58.44 ID:xict8ioo0.net

やりたい放題!

123 ::2020/11/29(日) 16:15:10.10 ID:Mwe+0S3G0.net

BBIQにするかな

125 ::2020/11/29(日) 16:31:21.81 ID:+viLmJ770.net

ファーウェイまじか
NUROは使ってないけど知らなんだ

126 ::2020/11/29(日) 16:33:27.69 ID:zFHQscB20.net

>>4
うちのはZTEなんだが?

129 ::2020/11/29(日) 16:40:31.94 ID:jaJdRK780.net

ファーウェイなのかよw

130 ::2020/11/29(日) 16:42:12.10 ID:sMinGIoT0.net

今すぐ買い換えるからおすすめのwifi6無線ルータって何よ?

134 ::2020/11/29(日) 16:49:10.90 ID:cr7bvONC0.net

>>117
エアコンと室外機繋ぐパイプの横から出もいいんやで

137 ::2020/11/29(日) 17:22:57.70 ID:VyHUVvA70.net

NURO光はスパイウェア

138 ::2020/11/29(日) 17:24:47.74 ID:K9ApKYTo0.net

nuro光が使うアカウントってなんだよ?
勝手にアクセスしてくんのかよ?

140 ::2020/11/29(日) 17:25:45.99 ID:CIAM17Ny0.net

これでNUROは候補から消えた
今ビクロだからそこの光でいいや
auの光ってどうですか?

143 ::2020/11/29(日) 17:46:10.35 ID:uRbtbbxl0.net

クワソロタ

147 ::2020/11/29(日) 18:13:53.04 ID:IaY6G+r30.net

>>145
バックドアとかよフロントドアだったりして(笑)

150 ::2020/11/29(日) 18:23:08.78 ID:kg+fFVmd0.net

まだファーウェイかZTEなの?

153 ::2020/11/29(日) 18:25:54.08 ID:xCx55aK+0.net

onu毎に帯域制限してるって聞いた

155 ::2020/11/29(日) 18:29:13.20 ID:+lkGnaRH0.net

LAN側からしかアクセスできないんなら致命的な脆弱性とは言えまい

156 ::2020/11/29(日) 18:29:43.81 ID:KRCRV2k+0.net

このご時世ファーウェイ製のonuは希望者には交換対応しないとマズくね?

157 ::2020/11/29(日) 18:31:17.76 ID:4BUsQXX50.net

ルーターの隠し設定はあるあるだから驚く事でもないし、
WAN側から接続不可なら特に問題ないだろ
致命的な問題ではないけど、Huawei製とNUROが相手してくれないから騒いでるだけにしか見えない。

158 ::2020/11/29(日) 18:35:52.27 ID:KRCRV2k+0.net

LAN側だから良い理論がよく分からない、いい訳ないだろう

162 ::2020/11/29(日) 19:00:13.63 ID:nHxRROpb0.net

以前からNUROはHGWがファーウェイかZTEしか無いから危険だと言っていたのに
それみたことかだよ

163 ::2020/11/29(日) 19:30:13.75 ID:mxlcxiI20.net

何か勘違いしてる人が居るけど、どんな機器でも管理者権限でしか設定出来ない機能持ってるのは当たり前
むしろユーザー権限ですべての設定できる方が怖い
その管理者アカウントが漏れたのが問題であって、管理者権限があったことじゃない

166 ::2020/11/29(日) 19:48:29.00 ID:Y/uMkR/L0.net

>>31
2重ルーターしないと危険ってことだな
せっかくの10Gbpsを活かすのは難しくなりそうだが

176 ::2020/11/29(日) 22:47:10.52 ID:LiRi8lzP0.net

SONYじゃなくてクSo-netだろ?

181 ::2020/11/30(月) 00:14:58.66 ID:s5cUIqRH0.net

確かONUのルーター機能をオフにできないんだよな
工事の際にモメてボロカスに文句言ってキャンセルしたわ

205 ::2020/11/30(月) 17:04:19.15 ID:BOnDolXT0.net

NUROは2回工事あるからめんどいよな

215 ::2020/11/30(月) 18:27:11.50 ID:ZphvaUhW0.net

安い光コラボで700M出てるから不満なし
コロナ禍の中ADSL速度落ちまくって辛かった
乗り換えて良かった

218 ::2020/11/30(月) 20:33:45.80 ID:QaxZjz6I0.net

>>217
千葉なのバレバレ

225 ::2020/12/01(火) 13:36:22.34 ID:vCe3/2rW0.net

管理者ログインで、機能が増えてワロタ

ルーティングが細かく設定できる、ネットをコントロールできるわ

でも、ログイン名パスワード変える場合は、ファーウェイに連絡しろと

ファーwww

227 ::2020/12/02(水) 07:57:33.44 ID:Ivqiw1k30.net ?2BP(0)

https://img.5ch.net/ico/nida.gif
あんだけ騒がれたのにいまだにファーウェイ扱ってたのか
相変わらずの親中企業だな

230 ::2020/12/02(水) 08:11:42.36 ID:NqcJ2xMCO.net

?仕様だろ?

231 ::2020/12/02(水) 08:21:36.59 ID:Wfo3XMw10.net

いまだにNUROは、HUAWEIかZTEの2択なの?

233 ::2020/12/02(水) 08:27:55.68 ID:3aIzF8F10.net

確実に支那共産党に情報抜かれてるな

234 ::2020/12/02(水) 09:16:22.38 ID:hWIA+nt10.net

管理者権限で習近平とお友達になれるキャンペーン中 www

236 ::2020/12/02(水) 11:36:21.69 ID:OPFBgulV0.net

機器がHUAWEI,ZTEで避けてたが、運営のソニーも地雷だったか
やっぱり安心のフレッツだな

237 ::2020/12/02(水) 12:40:42.79 ID:uVPg1Icg0.net

今回の内容はサービスメニューに入るためのアカウント・パスワード判明を発端に、
SSHでルート権限が必要なコマンドが使えることが確認できたという内容。
しかし数種の条件が揃わないと実行できないから、大騒ぎするほどではない。

そんなことより、華為謹製のONU+ルーター+WiFiAPが一体のHGWなもんで、
オンラインファーム更新で、どんな細工を入れられるかわからん不安のほうが
よほど大きい。

238 ::2020/12/02(水) 12:58:41.55 ID:7u6CxpBZ0.net

それじゃテレビのサービスマンモードへの入り方が分かった。
というのと大して変わらんやん。

239 ::2020/12/02(水) 13:29:23.38 ID:dhJ2VWey0.net

やっぱり中華製の0NUやルーターはヤバいんやね

TP-LINKって中国企業はルーター世界最大手なんだけど バックドアに問題が有る.. https://anond.hatelabo.jp/20190406192011

コメントする

メールアドレスが公開されることはありません。

RSS