NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
■ このスレッドは過去ログ倉庫に格納されています
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
目次
◆1:「HG8045Q」の脆弱性の指摘
◆2:脆弱性を確認してみた
◆3:新たな脆弱性を発見
◆4:脆弱性の報告とNURO光の対応
◆1:「HG8045Q」の脆弱性の指摘
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。
HG8045Qはウェブ管理画面からさまざまな設定を行うことが可能で、通常は「admin」というユーザー名と自身で設定したパスワードを用いて、管理画面にログインします。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/010.png
ウェブ管理画面では、ONUのシリアル番号やファームウェアのバージョンといった機器の情報を確認したり……
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/020_m.png
再起動などを行ったりすることが可能です。
しかし、この管理画面には「隠された機能」が存在しており、その機能はNURO光側で所有する「管理者アカウント」でログインすれば有効化できるとのこと。
Orsholits氏はHG8045Qを解析し、管理者アカウントのIDとパスワードを特定する方法を公開しています。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/030_m.png
https://gigazine.net/news/20201128-nuro-onu-vulnerablity/ ◆2:脆弱性を確認してみた
GIGAZINE編集部ではNURO光を契約しており、さらに公開された脆弱性の対象であるHG8045QをNURO光から貸与されています。
脆弱性の影響があるのか不安を覚えたので、実際に脆弱性を利用して管理者用のコントロールパネルにアクセスしてみました。Orsholits氏の解析によると、管理者アカウントのユーザー名はNURO光が提供するHG8045Qで共通の「admin_iksyomuac13」、パスワードは「iksyomuac13_admin_XXXX」の「XXXX」をPON MACアドレス「YYYYYYYXXXX-YY(YY)」の「XXXX」に置き換えたものであるとのこと。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/035_m.jpg
実際に管理者アカウントを使って管理画面にアクセスしてみると……
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/040_m.png
通常のアカウントでは確認できなかった「CPU使用率」や「メモリ使用率」、HG8045Qがどのベンダー向けにカスタマイズされているかを表す「カスタマイズ情報」などを確認できる画面が表示されました。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/050_m.png
画面下部には「初期化パスワードは管理者が使用します。このパスワードを変更する必要がある場合は、通信事業者にご連絡ください。パスワードの変更方法の詳細は、http://support.huawei.comの[セキュリティ保守]を参照してください。」という赤文字が見えます。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/055_m.png
「http://support.huawei.com」にアクセスしてみると、Huaweiのエンタープライズ向けサポートページが表示されました。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/057_m.png
管理者アカウントでログインすると、通常のアカウントでは表示されていなかったさまざまな機能を利用することができるようになりました。例えばLANポートをWANポートとして設定できる「WAN」の項目。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/060_m.png
ルーティングテーブルの操作や……
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/070_m.png
デバイス制御の項目も追加されました。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/080_m.png 管理者アカウントによって追加で表示されるようになった機能は以下。
◆ステータス
・「WAN情報」:IPv6アドレス、VLAN優先度の表示追加
・「スマートWiFiカバレッジ」項目の追加
・「デバイス情報」:ONT ID、CPU使用率、メモリ使用率、カスタマイズ情報の表示追加
・「リモート管理」項目の追加:リモート接続とサービスプロビジョニングのステータス表示追加
・「サービスプロビジョニングステータス」項目の追加:ONTとONUの接続状況などを確認可能
◆WAN(管理者アカウントで追加)
・「WAN設定」:WANポートの設定が可能。通常はLANで利用するポートもWANポートとして設定できる
・「DHCPクライアントオプション設定」
・「DHCPクライアントリスエストパラメータ」
◆LAN
・「LANポート動作方法」項目の追加:レイヤ3で使用するポートの選択
・「LANホスト設定」:セカンダリアドレスの設定追加
・「DHCPサーバ設定」:DHCPリレー、Option125、セカンダリDHCPサーバーの有効化設定を利用可能に
・「DHCPサーバオプション設定」の追加:LAN側のDHCPサーバオプションを設定可能
◆IPv6
・「デフォルトルート設定」の追加
・「スタティックルート設定」の追加
・「LANアドレス設定」:インターフェースのアドレス情報でIPv6アドレスのインターフェースIDを変更可能に
◆WLAN
・「2.4G詳細ネットワーク設定」:規制区域を日本以外の国に変更可能に
・「5G詳細ネットワーク設定」:規制区域を日本以外の国に変更可能に
・「WiFi自動切断」の有効化:WiFi機能を使用していない間、自動で停止するように設定することが可能
・「スマートWiFiカバレッジ管理」:「Wi-FiネットワークのSSIDを指定することが可能です。またスキャンした外部APをこのWi-Fiネットワークに追加することが可能です。
さらに、外部APとこのデバイスでWi-Fiネットワーク全体を構成し、ご利用の無線デバイスからシームレスにこのネットワークにアクセス可能」との説明 ◆セキュリティ
・「ファイアウォールレベル設定」の有効化:「無効」「高」「中」「低」「カスタム設定」から選択可能
・「デバイスアクセス制御」の有効化:LAN、WAN、無線通信それぞれのネットワークでFTP、HTTP、telnetへのアクセスを制御、WAN側送信元アドレスの設定が可能
・「WANアクセス制御設定」:の有効化:単一のWANポートでHTTPモード、telnet、FTP、SSH、送信元アドレスの許可設定が可能
◆ルート(管理者アカウントで追加)
・「デフォルトルート設定」:デフォルトルートを設定可能
・「スタティックルート設定」:ドメイン名、IPアドレス、サブネットマスク、ゲートウェイIPアドレス、WANポート名など、スタティックルートの設定が可能
・「ポリシールート設定」:サービスポリシー経路を設定可能
・「VLANバインディング設定」
・「サービスルート設定」:サービス経路を設定可能
・「ルーティングテーブル」:宛先IPアドレス、宛先サブネットマスク、ゲートウェイ、出力インターフェースなど、現在のルーティング情報を照会することが可能
◆ネットワークアプリ
・「ポータル設定」項目の追加:はじめてインターネットにアクセスした際に表示するウェブサイトを設定可能
・「DDNS設定」項目の追加:dyndnsやNO-IPといったDDNSを設定可能
・「IGMP設定」項目の追加
・「インテリジェントチャネル設定」項目の追加
・「端末制限設定」項目の追加:インターネットに接続する端末数を制限可能
・「ARP Ping」項目の追加
・「ARPエージング」項目の追加:ARPのエージング時間を設定可能
◆システムツール
・「設定ファイル」項目の追加:設定ファイルの保存やダウンロード、アップデートが可能
・「ファームウェアアップグレード」項目の追加:ファームウェアファイルを指定してファームウェアをアップデート可能
・「保守」:PingテストのDSCP値変更、ハードウェア障害検出機能の追加
・「リモートミラーリング」項目の追加:CPUで送受信されたパケットのミラーリングが可能
・「ONT認証」項目の追加:OLTがONTを認証する際に必要なパラメータを変更可能
・「時間設定」項目の追加:DSTを有効にする項目の追加
・「TR-069」項目の追加:プロバイダがユーザーの機器をリモートで操作する際に利用するプロトコル・TR-069に関する設定が可能
・「拡張電力管理」項目の追加:省電力モードに切り替えることが可能
・「ログインパスワードの変更」:証明書認証機能の追加
・「インテリジェントチャネル統計」項目の追加:インテリジェントチャネルトラフィックの統計収集とクエリ統計を利用可能
・「障害情報の収集」項目の追加:障害情報の収集とダウンロードが可能 ◆3:新たな脆弱性を発見
上記の管理者アカウントを用いると、LANからHG8045QにSSH接続を行うことが可能になります。SSHでログインすると「WAP」というシェルが表示されました。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/090_m.png
このWAPはHuawei製のネットワーク機器で利用できるシェルで、コマンドに「?」を追加すると、利用方法を見ることができます。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/095_m.png
例えば「ping?」を実行すると、pingコマンドの利用方法が返されます。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/097_m.png
試しに通常のpingコマンドで利用方法を表示する「ping -h」を実行すると、「ping: invalid option—h」と無効な引数であるにも関わらず、BusyBoxがpingコマンドの利用方法を返答しました。
このことから、「WAPで利用できるコマンドにはHuaweiが独自に実装しているコマンドもあれば、シェルスクリプトからBusyBoxを利用するコマンドもあるのでは?」と推測。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/096_m.png
BusyBoxを呼び出しているシェルスクリプトを調査していると、なんと管理者アカウントの特定とは別の新しい脆弱性を発見しました。
脆弱性の再現手順としては、まずシェルスクリプトからBusyBoxを利用しているコマンドの後に、文字入力を受け付けなくなるまで文字列を入力。その後Enterキーを押してコマンドを実行します。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/100_m.png
コマンド実行後、特にエラーなどは表示されず入力待機状態になるので「”」を入力し改行。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/110_m.png
「> |」の後に実行したいコマンドを入力。通常はWAPで使うことができないユーザー表示コマンド「whoami」を実行してみます。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/120_m.png
すると、「admin_iksyomuac13」でログインしているにもかかわらず、root権限でコマンドを実行することができてしまいました。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/130_m.png
CPUを確認できる「cat /proc/cpuinfo」コマンドなど、WAPシェルでは取得できない情報もBusyBoxに実装されていれば取得することができます。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/140_m.png
WAPで使えるすべてのコマンドが脆弱性を持っているわけではなく、Huaweiが独自実装しているコマンドは引数の文字数制限が行われていることもわかりました。
https://i.gzn.jp/img/2020/11/28/nuro-onu-vulnerablity/147_m.png
HG8045QではWAN側のSSHポートは閉じられているため、SSHを利用したWAN経由でのハッキングは困難です。
しかし、MACアドレスさえわかればSSH接続に必要な管理者アカウントのパスワードを特定できてしまい、MACアドレスは本体外面に記載されているため、物理的なアクセスができればroot権限によるコマンド実行が可能な状態となっています。 ◆4:脆弱性の報告とNURO光の対応
「管理者アカウントの特定」はGitHub上で公開されていましたが、root権限によるコマンド実行の脆弱性はどこにも公開されていないようだったので、NURO光に問い合わせて脆弱性を報告することに。
まずはバグ報奨金プラットフォームのHackerOneを確認してみましたが、NURO光は参加していませんでした。
ハードウェアベンダーのHuaweiのページは見つかりましたが、「psirt@huawei.com」宛に直接メールを送ってほしいと記載されており、HackerOneを経由したやり取りは不可能でした。
通常はバグ報告状況の「Hacktivity」や報告者一覧の「Thanks」ページなどが存在するのですが、Huaweiのページは「Policy」だけが存在する謎の状態。脆弱性の報告に対応してもらえるのか確証が持てなかったため、HackerOne経由での脆弱性報告は諦めることにしました。
次の手としてNURO光のホームページでバグを報告できる窓口がないか探してみましたが、「バグ報告はこちら」といった窓口はありませんでした。諦めずさらに調べると、以下のページで「テクニカルセンター」なるものを発見。
バグ報告が「技術的な質問」にあたるのかどうかは不明ですが、テクニカルセンター以外にバグ報告ができそうな窓口がなかったため、テクニカルセンターに電話で脆弱性を報告しました。
問い合わせから最終的な回答までのタイムラインはこんな感じ。
・2020年9月28日:「管理者アカウントの特定」についてテクニカルセンター経由でNURO光に報告、「後日回答します」という返答
・2020年10月6日:「管理者アカウントの特定」および「root権限奪取」についてサポートデスクにメールで報告、「弊社担当へお伝えさせていただきます」という返答
・2020年10月27日:NURO光に再び連絡すると案件が放置されていたと判明、1週間以内に回答してもらうよう要請
・2020年10月28日:NURO光にメールで脆弱性の詳細を追加で報告
・2020年11月5日:NURO光から折り返しの電話あり、コールセンター責任者は「脆弱性を対応する」との返答
・2020年11月9日:NURO光から再び折り返しの電話あり、11月5日と同じ責任者から「NURO側から正式に『脆弱性は修正しない』という回答があった」との返答
問い合わせから約2週間後にNURO光から得られた最終的な回答は以下。
・特定されたアカウントはNURO光の管理者アカウントだが、直ちに外部から不正なアクセスをされるわけではないので修正などの対応はしない
・管理者アカウントを利用して不具合が発生しても、NURO光側としては一切のサポートはしない
・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
・2020年10月19日にアナウンスしたファームウェアアップデートでも、脆弱性の修正は行っていない
……というわけで、NURO光は今回の脆弱性については「一切関知しない」という姿勢のようです。
NURO光のONUは2020年6月に「IPv6のファイアウォールがない」ことから、セキュリティ上の問題を指摘されたばかり。問題の指摘が行われたQiitaの記事は現在は削除されていますが、インターネットアーカイブでは今でも読むことができます。
NURO光はセキュリティ的にやばいって話 (安全に使うための方法) - Qiita
https://web.archive.org/web/20200601005731/https://qiita.com/notoken3331/items/ca228e2ac28ac7ea4879
2020年10月19日に通知されたファームウェアのアップデートでIPv6のファイアウォールは有効化されましたが、今回の脆弱性は対応してもらうことが難しいようです。Facebookはバグ報奨金プログラムを運営して10周年を迎えており、GoogleやAppleなどの大手IT企業も同様のプログラムを持っています。任天堂やトヨタ自動車、NURO光の親会社であるソニーもバグ報奨金プログラムに参加している現状を鑑みると、NURO光の脆弱性に対する窓口対応の弱さが目立ちました。 要約すると
・NURO 光の管理者アカウント&パスワードが特定される
・さらにroot権限によるコマンド実行が可能になってしまう
・ソニーに脆弱性を報告したら「知らん。修正もせんわ」とのこと 「プロバイダ オススメ」で検索すると、どこもNURO 光が真っ先に上がるんだよね
同じソニーのSo-netは、「ソニーがNURO 光に力を入れているためか、今はサービスの質が低下している」なんてコメントもある >>8
ユーザーのリスクは今のところ権限取った後で自らやらかしてしまう可能性があるくらい? バカが一人いればネットワーク掌握できるってことよね 昔PSストアでもクレカお漏らししたし、ここのサービスは全く信用ならんな
絶対入りたくない だってソニーだからな
バックドアはあるに決まってる ソニー製品買うのが悪い
ソニーに個人情報渡すのが悪い NURO光ぢて以前からセキュリティに問題あると指摘されてた記憶
今回のはまた別件っぽい? 物理的にどうにかしないと出来ないならまあ
それもネット上で出来ちゃうのにこれだったらもっと騒げた >>19
前回ってのはIPv6のやつかな?
別問題w お前ら茶化してるけど
これ洒落にならないくらいヤバいんだけどな >>27
健常者はソニーのNUROなんて使わないから問題ないしね >>7
これがマイクロソフトだと
発見者に賞金渡したりしてるのに やっぱりスレ立ったかw
脆弱性指摘したのに修正はしませんって… NURO光って早いのが売りでしょ
NURRO光以外なら何に入るんですか?
自分は田舎だからNURO来ていない。。 これは被害に遭う前にソニー損保に加入してねというソニーからのメッセージだな >Huawei製の「HG8045Q」
NURO光って馬鹿なのかな? バックドア仕込んでる上にこの対応のNUROは終わってるが
レンタルのONUに勝手に管理者アカウントとやらでログインしてるGIGAZINEも法律的に大丈夫なの?これ NURO光を使っている情弱です
オススメの乗り換え先はどこですか(´;ω;`)? もれなくルーターにHuaweiがついてくるという時点で終わってる テザリングや無料WiFiでゲーム落としてる豚には理解できてないやろな 個人向けのnuroは散々ゴミって言われてたからな
営業、サポート、ルーター、全部ゴミ NURO光の勧誘電話がかかってきたら
この話すればいいのね >>47
ファーウェイ以外に数社あってランダムで来るのと、希望すれば交換してもらえる
もれなくではない HUAWEI製ONUかな?っ予想したけど案の定だった
やっぱHUAWEI製がヤバいって証明されたね
中国製通信機器を規制してもらえるよう行政機関に働きかけをした方が良さそう この姿勢がギネス級のセキュリティ事故を引き起こしたのに、結局何も変わってない
・2020年10月27日:NURO光に再び連絡すると案件が放置されていたと判明、1週間以内に回答してもらうよう要請
・2020年10月28日:NURO光にメールで脆弱性の詳細を追加で報告
・2020年11月5日:NURO光から折り返しの電話あり、コールセンター責任者は「脆弱性を対応する」との返答
・2020年11月9日:NURO光から再び折り返しの電話あり、11月5日と同じ責任者から「NURO側から正式に『脆弱性は修正しない』という回答があった」との返答 やっぱ問題あったのHUAWEIか
コロナといいシナと関わると碌な事ないな
こいつら監視や拷問が大好きだからな
日本も監視しときたいんだなw
VITAもチョン液晶で潰されたし
シナチョンと関わってる企業ってだけで気持ち悪い アメリカでごたごたしてるのにHUAWEI排除できない弱小企業 >>27
ソニーがシャレにならないくらいヤバい判断をするのは普段通りってだけじゃね ・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない
たとえこんなこと言われても関係ない
カプコンの件といいいつものGIGAZINEだな 富士通もNECもパナソニックISP事業切り売りしたのに
クソニだけ未だに継続してるのなんで? >>65
むしろ許可もらったくらいの感じだろう
訴えないって言われたようなもんなんだから ネタが遅えよ。
もう半月前の話題だぞこれ
onuをブリッジにしたり出来るけどまともに動かん。
あと結局外部から試すなら直繋ぎかwifi繋ぎしなきゃならんから大した意味は無い。 >>47
ここのレンタルモデム?は支那メーカーしか選べなかったはず
ファーウェイとあともう一つ支那のメーカー製
Nuro光一応エリア内だが乗り換えはやめるか
セキュリティに問題ありすぎだろ >>1
>ソニーとキオクシアが米国にファーウェイ取引許可を申請−報道 - Bloomberg
これ知らない奴ばっかだな
もうシナと一蓮托生なくらいズブズブだと >>69
上にZTEとか書いてあるな
ZTEとかファーウェイより前に規制された上に
ファーウェイと一緒に再度規制されてる企業だぞw
合衆国の制裁とその解除 「ZTE」の例まとめ(2018/12/16)
https://money1.jp/archives/5941
・取締役全員(計8名)を解任。取締役会(ボード)メンバーを一新
・リスク管理責任者をアメリカから派遣してこれを置く
・10億ドルの罰金を支払う
・預託金4億ドルを合衆国の銀行に供託する
米、ファーウェイ・ZTEを排除 通信会社向け規制施行(2020/7/1)
https://www.nikkei.com/article/DGXMZO61007120R00C20A7000000/ NUROはNTTなどが採用している方式と違うので、
国産ONUが使えず海外製ONUを調達して使うしかない。
それ故に低コストで運用できている側面もある。 PSユーザーで使っている人多そう
最近、PSplus配給日にチェックしに行ったとき、
nuroの何かキャンペーン見たわ 大丈夫?ソニーの光回線だよ?
大丈夫なわけないんだよなあ 中国が日本のネットワークも楽々乗っ取りや、この回線の利用者を踏み台に攻撃利用できないか? huawei製って、脆弱性じゃなくて裏口でしょ?w 少なくとも大手企業は中華朝鮮製使うなよ
何かあったときに一気にインフラ乗っ取られるぞ >>46
ファーウェイ以外が来るまでONU交換ガチャするしかないよ NUROって国内配信で弾かれたり、ビッグカメラから海外扱いで弾かれたりする回線なんでしょ。
速度以前の問題。 なんだファーウェイの問題なだけか台湾製リクエストすればいいだけだな
日本のゲーマーにはニューロ以外の選択肢ないくらい皆使ってる信頼と速さだからな >>90
ニューロ光と検索ボックスに打ち込むと、検索候補のトップに遅いと出るんですが… ゲームも中華とがっちりタッグ
ネットも中華とがっちりタッグ >>90
NUROって対応エリアがまだ全然足りてなんだけど、日本のゲーマーはNURO対応エリア以外には住んでないのか
例えばコングのあるとか新潟とか、クレイジーショップのある岡山とか NURO光って、回線契約や工事でも客と揉め事起こしてるし
正直、絶対に選んではいけない光通信業者のような気が… >>94
揉めてない通信企業はないけどね
NTTKDDIソフバン全部クソだから え、普通にルーターの詳細設定やカスタマイズを
よくわかりもせず変更して泣きつく馬鹿がいるから隠してたのを
自分で変更出来るコマンド見つかっただけだよね?
外部から他人のネットワークどうこう出来る訳じゃないし ■ このスレッドは過去ログ倉庫に格納されています