引用元
1 ::2020/11/29(日) 13:50:34.47 ID:BONjk1jY0.net ?2BP(5000)
https://img.5ch.net/ico/u_pata.gif
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。
https://gigazine.net/news/20201128-nuro-onu-vulnerablity/
12 :
:2020/11/29(日) 13:56:58.20 ID:kEPqXytH0.net
NURO10月に電話したのにまだ開通しねぇ…
そのうえこれかよ…
19 :
:2020/11/29(日) 13:59:54.80 ID:RX/ggtKu0.net
>>12
やめとけ。俺は半年かかって工事日も調整し宅内工事終わった後
さらに2ヶ月待たされた挙句最終的に無理って言われた
サポート電話つながるのに一時間待ち当たり前だし本当にクソだぞ
35 :
:2020/11/29(日) 14:06:46.03 ID:txUWbhZc0.net
>>19
そういう話さんざん読んでたから親が引きたいといったときもそういう事例を教えてやめとけばと言った
そしたらなぜか申込みからサクサク2週間で開通してしまい俺がネットに踊らされてるバカみたいな扱いになっててかなしい
まあ俺んちは使えないし今のKDDIで不満ないから申し込まないけど
38 :
:2020/11/29(日) 14:07:45.18 ID:DwUhd0oC0.net
44 :
:2020/11/29(日) 14:11:21.16 ID:OgMQ3jNk0.net
>>19
一時間待ち?早いな
俺は2時間待たされたぞwいつ何時にかけてもろくに繋がらないから意地で待った
ようやく出てきたのはテンプレ3パターンしか答えないクソ対応w
項目ごとに問い合わせ電話番号違うし公表してない番号ばっかり
そして何一つ進まずこっちから解約した時には一年経過してたわ
申し込み後の客からの電話、メール問い合わせを絶対させない意思を強く感じたわ
40 :
:2020/11/29(日) 14:09:21.28 ID:GgE8tg360.net
>>12
なんで電話なの?
Webで自分で工事日の予約したら申し込みからすぐだったけどな?
屋外宅内どっちも
88 :
:2020/11/29(日) 15:00:23.76 ID:Ya1Bsfnt0.net
>>40
もちろん問題なくスムーズにできる事はあるだろうけど、被害者はかなりいる。
182 :
:2020/11/30(月) 01:19:11.09 ID:kMX/v2s50.net
>>88
説明がわかりづらいのはあるだろうけど
Nuroからの電話なんて待ってないで自分でログインして空き日のカレンダーから工事希望日選択する形で予約できるんだよ
それ知らない人たちが向こうから電話が来ない来ないって騒いでるのをちょくちょく見かける
電話なんて待ってないで自分でWebから予約しろと
101 :
:2020/11/29(日) 15:16:35.20 ID:cGBQwgH20.net
WANからログインされるわけじゃないんだろう?
NUROのセキュリティ意識が低いのはわかったが
113 :
:2020/11/29(日) 16:00:15.21 ID:xrcDBVTF0.net
>>101
内側にシナチョンの工作員ゼロかどうかは怪しいな。
128 :
:2020/11/29(日) 16:38:29.43 ID:ZcZlS4VM0.net
>>101
WAN側からSSH経由でONUにログインされるって。NuroがONUの設定に使うツールとの事。
実際、ipv4経由でso-netのネットワークにsshで入り込めるとは、思わないけどな。
131 :
:2020/11/29(日) 16:43:16.81 ID:cGBQwgH20.net
>>128
あり得るのか
ONU自体がわんさかトラフィック生成してなきゃMACわからないだろうけど
132 :
:2020/11/29(日) 16:44:34.75 ID:evkxmI1J0.net
>>128
NUROって直にグローバルIPアドレスが振られるようにははなってないのか
136 :
:2020/11/29(日) 17:22:34.02 ID:7TOjJEKL0.net
>>128
WAN側からのSSHアクセスはデフォでは無理
142 :
:2020/11/29(日) 17:41:49.77 ID:CIAM17Ny0.net
146 :
:2020/11/29(日) 18:12:03.10 ID:IaY6G+r30.net
>>142
ダイヤルうpが伸びてるそのこころは何ぞや。
149 :
:2020/11/29(日) 18:18:18.42 ID:CIAM17Ny0.net
>>146
_____________
___ /
/´∀`;:::\< 呼んだ?
/ /::::::::::| |
| ./| /:::::|::::::| \_____________
| ||/::::::::|::::::|
195 :
:2020/11/30(月) 11:56:21.40 ID:otuXL+Cc0.net
>>142
クッソ田舎に引っ越すが光回線などない、敷設される見込みもないということで
アナログ電話回線はあるからADSLに申し込むか思案中
206 :
:2020/11/30(月) 17:21:11.86 ID:EKrHP3e10.net
>>195
ADSLは多分もうどこも新規受付していないんじゃね
1 :
:2020/11/29(日) 13:50:34.47 ID:BONjk1jY0.net
?2BP(5000)
https://img.5ch.net/ico/u_pata.gif
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。
https://gigazine.net/news/20201128-nuro-onu-vulnerablity/
111 :
:2020/11/29(日) 15:56:24.49 ID:yoyigVib0.net
>>1
>・2020年11月9日:NURO光から再び折り返しの電話あり、11月5日と同じ責任者から「NURO側から正式に『脆弱性は修正しない』という回答があった」との返答
問い合わせから約2週間後にNURO光から得られた最終的な回答は以下。
・特定されたアカウントはNURO光の管理者アカウントだが、直ちに外部から不正なアクセスをされるわけではないので修正などの対応はしない
・管理者アカウントを利用して不具合が発生しても、NURO光側としては一切のサポートはしない
・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
・2020年10月19日にアナウンスしたファームウェアアップデートでも、脆弱性の修正は行っていない
↑
投げ槍にも程があるだろ。
211 :
:2020/11/30(月) 18:18:15.46 ID:X5hrgLud0.net
>>1
>脆弱性が報告されているのはHuawei製の「HG8045Q」
また中国共産党企業のスパイ端末か!
127 :
:2020/11/29(日) 16:35:20.64 ID:DoPdu05c0.net
結局速く快適なネットは何処なのよ?縛りがあと2年あるから更新月で変えるわ
135 :
:2020/11/29(日) 16:59:08.77 ID:9jLXXpcc0.net
>>127
フレッツのIPoEは快適、マンション光引き込みタイプで
常時600Mbpsオーバー出てる
IPアドレスが基本的に固定されることがネックかな
それ以外だと電力系がいいだろうけど、関東圏だとauになるのかな
ただし、古い賃貸物件だとマンション内電話線分配だったり、ラストワンマイルで
品質は変わるからサービスよりも住んでいる物件、環境のほうが重要
144 :
:2020/11/29(日) 17:48:09.89 ID:DoPdu05c0.net
>>135
そうなのか、戸建てだからそこら辺は大丈夫だがスマホauじゃないしフレッツにしようかな
154 :
:2020/11/29(日) 18:29:01.60 ID:hO0e/Epo0.net
121 :
:2020/11/29(日) 16:12:37.07 ID:evkxmI1J0.net
NURO BizとNUROは違うらしいけど、個人契約は出来るのかね?
124 :
:2020/11/29(日) 16:16:32.35 ID:hO0e/Epo0.net
>>121
bizは法人じゃないと契約できない
例えば個人事業主ではNG
133 :
:2020/11/29(日) 16:45:05.21 ID:evkxmI1J0.net
46 :
:2020/11/29(日) 14:12:42.24 ID:J5idJL0V0.net
そろそろADSL終わるからこれ契約するか悩んでたんだけど
やばいのこれ?
83 :
:2020/11/29(日) 14:48:25.46 ID:7x/gHxPL0.net
>>46
俺は楽天モバイルにするわ
30Mくらいしか出ないけどADSLよりは速いし
122 :
:2020/11/29(日) 16:13:17.30 ID:4UQ9ihXq0.net
>>83
よっぽど田舎県とか(2年くらいはローミング解除されないとか)
楽天の基地局直下とかじゃないと
すぐに使えなくなるだろ
81 :
:2020/11/29(日) 14:45:59.84 ID:joIPtEOx0.net
レンタルだし別のONUに交換したら良いんじゃないのか
84 :
:2020/11/29(日) 14:50:05.85 ID:o2BCcZCs0.net
>>81
Huawei製かZTE製のどちらかが来る
工事当日までわからないしユーザーは選べない
87 :
:2020/11/29(日) 14:52:57.06 ID:zDe4PRnn0.net
>>84
今は台湾のサーコムが追加されてる。
ガチャなのには変わりないけど。
95 :
:2020/11/29(日) 15:08:08.32 ID:hO0e/Epo0.net
104 :
:2020/11/29(日) 15:17:24.24 ID:cGBQwgH20.net
>>31
そういえば二重ルーターにするという逃げ道はある
169 :
:2020/11/29(日) 21:30:35.80 ID:Hg+VtI9o0.net
>>104
ONU乗取られてデータ抜かれる場合、2重ルータとか意味ないぞ
141 :
:2020/11/29(日) 17:26:53.31 ID:X53NlA9u0.net
160 :
:2020/11/29(日) 18:37:07.55 ID:yk26UJrE0.net
>>141
小卒ホモ近平主席 「ほらよw チャリン♪ チャリ〜ン♪」
中卒五毛党 「ありがてぇw ありがてぇw 月収4万円だからありがてぇw」
高卒五毛党 「ありがてぇw 月収6万円だからありがてぇw」
大卒五毛党 「ありがてぇw 月収8万円だからありがてぇw」
無毛受刑者 「ありがてぇw 刑期が減るらしいからありがてぇw」
↑こいつらはどこにでも湧くからねーw
175 :
:2020/11/29(日) 22:36:35.49 ID:WuuwCtuQ0.net
これってwifi側からONUに管理者権限でログイン出来るってこと?
そうなら直ちに問題ありそうだけど。
184 :
:2020/11/30(月) 05:32:38.55 ID:1y/NqVxh0.net
>>175
lan側からのみ。なので他社のONUと同じ。
大した問題ではない。
180 :
:2020/11/29(日) 23:29:11.48 ID:aWaZeI2u0.net
WEPのポイントを決められたタイミングで起動すれように仕込んでおけば、簡単に内部ネットワークにアクセスできるよ。
185 :
:2020/11/30(月) 05:52:54.17 ID:uTYUUENo0.net
>>180
2020年なのにwepって的外れ過ぎない?
もうwpa1すら使ってないのに…
187 :
:2020/11/30(月) 06:55:31.99 ID:zaFz9S1f0.net
NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
(Huawei製の)NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
肝心の部分がスレタイから抜かれてます わざとだろ?
224 :
:2020/12/01(火) 13:31:27.18 ID:PBY0uyGz0.net
194 :
:2020/11/30(月) 11:52:10.88 ID:XRDwRbxs0.net
>>191
ポート開放はONU付きルータで設定出来るようだけど、ルータのSSHには穴開け出来ないようになっているのかな
198 :
:2020/11/30(月) 12:10:45.62 ID:lHODIkOe0.net
>>194
そもそもISP上位ルータで許可してるのかなっ?てこと。ユーザー向けの53番とか閉じてるでしょ。オープンリゾルバ対策で。
208 :
:2020/11/30(月) 17:37:35.48 ID:otuXL+Cc0.net
>>206
NTTが2023年1月31日で終了と言ってるのは光回線提供エリアでの話であってADSL完全終了ではない
プロバイダもまだ各社やってるようだ
219 :
:2020/12/01(火) 02:09:51.89 ID:vgtMPhL50.net
>>208
NTTは少なくとも新規受付していないはずやで
212 :
:2020/11/30(月) 18:23:33.07 ID:Zm2kFOM70.net
原神とかインストしてたら
もう内側から穴開けられてそうだな
216 :
:2020/11/30(月) 18:40:49.85 ID:QaxZjz6I0.net
228 :
:2020/12/02(水) 08:03:30.22 ID:BlPCgMRy0.net
232 :
:2020/12/02(水) 08:27:49.32 ID:6j213BHM0.net
54 :
:2020/11/29(日) 14:20:11.86 ID:w3Yjqgyv0.net
回線屋内工事とかあるんだ
モジェラージャックオンリーの案件とか貴重だろうな
186 :
:2020/11/30(月) 05:59:23.12 ID:7CH/wFBx0.net
76 :
:2020/11/29(日) 14:42:34.31 ID:3GyHsbo80.net
うちもNUROなんだがZTE製だったわ、まあこれも中華なんだが
80 :
:2020/11/29(日) 14:45:51.08 ID:aABL24Qq0.net
>>76
ZTEも制裁くらったしくらいなおしたろ
ttps://jp.reuters.com/article/china-zte-us-ban-idJPKBN1IA3LW
97 :
:2020/11/29(日) 15:11:07.60 ID:4Rso1rA/0.net
2月に申し込んで、宅内工事から半年経つけど、未だに宅外工事の日程決まらないなぁ
106 :
:2020/11/29(日) 15:31:10.76 ID:u9QSZRyu0.net
100 :
:2020/11/29(日) 15:15:59.42 ID:lUyU7gKR0.net
103 :
:2020/11/29(日) 15:16:44.68 ID:lUyU7gKR0.net
107 :
:2020/11/29(日) 15:41:34.72 ID:rYCm/Tu/0.net
安かろう悪かろうの典型例だな。工事は遅いはそのうえキャンセルするはで乗り換えなくて良かった。
108 :
:2020/11/29(日) 15:51:22.82 ID:x94ndNde0.net
ソニーの筆頭株主が、アメリカになった時点で終わったな
109 :
:2020/11/29(日) 15:52:32.91 ID:5twsHM3xO.net
110 :
:2020/11/29(日) 15:54:07.91 ID:7TOjJEKL0.net
ルーティングテーブルが設定できないから
糞ONUだと思っていたのに、出来るんじゃねーか
隠し機能なんかにするなよ
114 :
:2020/11/29(日) 16:01:04.98 ID:6J5Pd2uS0.net
115 :
:2020/11/29(日) 16:03:49.98 ID:50mywqYw0.net
「修正しない」のではなく、技術がなくて「修正できない」んじゃねーの
116 :
:2020/11/29(日) 16:05:24.20 ID:4UQ9ihXq0.net
118 :
:2020/11/29(日) 16:09:38.42 ID:wc+UU3Ra0.net
10年くらいフレッツハイスピードとかいうの使ってるけど
4Kもスムーズに見れるしダウンロードも1GBくらいなら数分で落ちてくるから
実用上なんの問題もない
119 :
:2020/11/29(日) 16:11:26.65 ID:4UQ9ihXq0.net
>>31なんてのは
ADSLの時はモデムも買えたし
未だにADSLなら知らない可能性も…
120 :
:2020/11/29(日) 16:11:58.44 ID:xict8ioo0.net
123 :
:2020/11/29(日) 16:15:10.10 ID:Mwe+0S3G0.net
125 :
:2020/11/29(日) 16:31:21.81 ID:+viLmJ770.net
ファーウェイまじか
NUROは使ってないけど知らなんだ
126 :
:2020/11/29(日) 16:33:27.69 ID:zFHQscB20.net
129 :
:2020/11/29(日) 16:40:31.94 ID:jaJdRK780.net
130 :
:2020/11/29(日) 16:42:12.10 ID:sMinGIoT0.net
今すぐ買い換えるからおすすめのwifi6無線ルータって何よ?
134 :
:2020/11/29(日) 16:49:10.90 ID:cr7bvONC0.net
>>117
エアコンと室外機繋ぐパイプの横から出もいいんやで
137 :
:2020/11/29(日) 17:22:57.70 ID:VyHUVvA70.net
138 :
:2020/11/29(日) 17:24:47.74 ID:K9ApKYTo0.net
nuro光が使うアカウントってなんだよ?
勝手にアクセスしてくんのかよ?
140 :
:2020/11/29(日) 17:25:45.99 ID:CIAM17Ny0.net
これでNUROは候補から消えた
今ビクロだからそこの光でいいや
auの光ってどうですか?
143 :
:2020/11/29(日) 17:46:10.35 ID:uRbtbbxl0.net
147 :
:2020/11/29(日) 18:13:53.04 ID:IaY6G+r30.net
>>145
バックドアとかよフロントドアだったりして(笑)
150 :
:2020/11/29(日) 18:23:08.78 ID:kg+fFVmd0.net
153 :
:2020/11/29(日) 18:25:54.08 ID:xCx55aK+0.net
155 :
:2020/11/29(日) 18:29:13.20 ID:+lkGnaRH0.net
LAN側からしかアクセスできないんなら致命的な脆弱性とは言えまい
156 :
:2020/11/29(日) 18:29:43.81 ID:KRCRV2k+0.net
このご時世ファーウェイ製のonuは希望者には交換対応しないとマズくね?
157 :
:2020/11/29(日) 18:31:17.76 ID:4BUsQXX50.net
ルーターの隠し設定はあるあるだから驚く事でもないし、
WAN側から接続不可なら特に問題ないだろ
致命的な問題ではないけど、Huawei製とNUROが相手してくれないから騒いでるだけにしか見えない。
158 :
:2020/11/29(日) 18:35:52.27 ID:KRCRV2k+0.net
LAN側だから良い理論がよく分からない、いい訳ないだろう
162 :
:2020/11/29(日) 19:00:13.63 ID:nHxRROpb0.net
以前からNUROはHGWがファーウェイかZTEしか無いから危険だと言っていたのに
それみたことかだよ
163 :
:2020/11/29(日) 19:30:13.75 ID:mxlcxiI20.net
何か勘違いしてる人が居るけど、どんな機器でも管理者権限でしか設定出来ない機能持ってるのは当たり前
むしろユーザー権限ですべての設定できる方が怖い
その管理者アカウントが漏れたのが問題であって、管理者権限があったことじゃない
166 :
:2020/11/29(日) 19:48:29.00 ID:Y/uMkR/L0.net
>>31
2重ルーターしないと危険ってことだな
せっかくの10Gbpsを活かすのは難しくなりそうだが
176 :
:2020/11/29(日) 22:47:10.52 ID:LiRi8lzP0.net
181 :
:2020/11/30(月) 00:14:58.66 ID:s5cUIqRH0.net
確かONUのルーター機能をオフにできないんだよな
工事の際にモメてボロカスに文句言ってキャンセルしたわ
205 :
:2020/11/30(月) 17:04:19.15 ID:BOnDolXT0.net
215 :
:2020/11/30(月) 18:27:11.50 ID:ZphvaUhW0.net
安い光コラボで700M出てるから不満なし
コロナ禍の中ADSL速度落ちまくって辛かった
乗り換えて良かった
218 :
:2020/11/30(月) 20:33:45.80 ID:QaxZjz6I0.net
225 :
:2020/12/01(火) 13:36:22.34 ID:vCe3/2rW0.net
管理者ログインで、機能が増えてワロタ
ルーティングが細かく設定できる、ネットをコントロールできるわ
でも、ログイン名パスワード変える場合は、ファーウェイに連絡しろと
ファーwww
227 :
:2020/12/02(水) 07:57:33.44 ID:Ivqiw1k30.net
?2BP(0)
230 :
:2020/12/02(水) 08:11:42.36 ID:NqcJ2xMCO.net
231 :
:2020/12/02(水) 08:21:36.59 ID:Wfo3XMw10.net
いまだにNUROは、HUAWEIかZTEの2択なの?
233 :
:2020/12/02(水) 08:27:55.68 ID:3aIzF8F10.net
234 :
:2020/12/02(水) 09:16:22.38 ID:hWIA+nt10.net
管理者権限で習近平とお友達になれるキャンペーン中 www
236 :
:2020/12/02(水) 11:36:21.69 ID:OPFBgulV0.net
機器がHUAWEI,ZTEで避けてたが、運営のソニーも地雷だったか
やっぱり安心のフレッツだな
237 :
:2020/12/02(水) 12:40:42.79 ID:uVPg1Icg0.net
今回の内容はサービスメニューに入るためのアカウント・パスワード判明を発端に、
SSHでルート権限が必要なコマンドが使えることが確認できたという内容。
しかし数種の条件が揃わないと実行できないから、大騒ぎするほどではない。
そんなことより、華為謹製のONU+ルーター+WiFiAPが一体のHGWなもんで、
オンラインファーム更新で、どんな細工を入れられるかわからん不安のほうが
よほど大きい。
238 :
:2020/12/02(水) 12:58:41.55 ID:7u6CxpBZ0.net
それじゃテレビのサービスマンモードへの入り方が分かった。
というのと大して変わらんやん。
239 :
:2020/12/02(水) 13:29:23.38 ID:dhJ2VWey0.net
コメントする