NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能https://t.co/93Au5p58tO
— GIGAZINE(ギガジン) (@gigazine) November 28, 2020
Twitterの反応
コレダメなやつだ。Gigazineは報告先を間違えてる。JPCERT/CCにまず連絡して正式ルートからソニーに対応させないと。ソニー側の対応はありえないと思う。。 / “NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能 – GIGAZ…” https://t.co/ZrAaOyC9en
— ⓀⒾⒺⓉⒶ (@typex20) November 28, 2020
その他CATVでHG8045系を貸与してる会社が何社か。Nuro以外で可能なら、Nuroでなく華為の責任だと思う。ただ貸与元は早急に無償機種交換すべきだと思う。安いからと言って華為を採用したツケだ。
なおGitHubを見るとmeh301氏は9/12に公開しているので、自演かは謎だが11/29に発覚した訳ではないと思う。— 遅刻P@横浜長津田 (@pythagoratos) November 28, 2020
回線は最高なのに使いこなせないから意味がない典型の業者
(^。^)y-.。o○— したぎ (@shitagi_d) November 28, 2020
バグ報告の対応として最悪なのは報告後放置したNURO側じゃないですかね…アップデートもしないみたいですし、むしろこの記事が無ければ誰も脆弱性を考えずHG8045Q使ってたような…
— アンチョビ (@anchobifes) November 28, 2020
・直接LANへ接続しないと不可能(そもそもその時点でアウト)
・圧力をかけて修正を促す
という点を考えれば問題ないかと— Welcome To Underground Bot (@UnderGroundoT) November 28, 2020
中華ルーター採用してる時点でお察し
— 𝔠𝔬𝔪𝔢𝔪𝔞𝔪𝔢𝔪𝔦 (@komemamemi) November 28, 2020
管理者アカウント・・・という文言が誤解を招きそうですが、通常ユーザが使用するものでなく、保守用アカウントのことのようです。
また、脆弱性というのは、誇大表現かも。。。 https://t.co/En8k4vsDb3— Miyuki Chikara (@harugasumi) November 28, 2020
これはなかなかw
記事からのリンクはもっとやばかった🥺
ルーターのFWがデフォルトオフになっててそれについて問い合わせたことあるから、まぁデスヨネーという感想速いのは間違いないんだけどルーターがめちゃくちゃ不安定だし他に速いところあれば乗り換えたいとは常々#NURO光 https://t.co/LKxe4eZHlC
— さほSmokedByかすみ (@sahokun) November 28, 2020
NURO側は対応予定なしなんだってさ〜ONUのroot取れちゃうとかさすがv6のファイアウォールなかった回線業者なだけある… https://t.co/KRKCFIH5gb
— ミラ (@vil_snow) November 28, 2020
Nuro光を事業で使われている方は一度確認した方が良いね
Huawei製のルーター「HG8045Q」での記事だけど
あの「Huawei」製だしプロバイダー側は
・修正しない
・対応しない
・不具合が発生しても、一切のサポートはしない— 鳥頭散歩 (@LonelyBirdsHead) November 28, 2020
さすがにちょっとぐらいは対応しろよ笑
まあ、普通は外部からアクセスできないから良いけど https://t.co/MaM239ujTs— なりかくん (@narikakun) November 28, 2020
このレベルのものを一ヶ月放置したのもすごいけど、最終的には「脆弱性修正しない」ってのもすごいな…。会社としては問題ないとふんだのだろうけど、他の穴からこの穴突かれるとやばいしたぶん気づけない。気づけたとしてもこの対応内容からするとなんとなく認めてくれなさそう。 https://t.co/fQdqE3vlrC
— konamugi (@xkonamugi) November 28, 2020
Huawei使ってたんかw https://t.co/cEFoqHrelj
— narapon (@narapon16119) November 28, 2020
参考
コメント