パスワードを忘れた? アカウント作成
15509101 story
インターネット

大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 33

ストーリー by nagazou
ルーター 部門より
IoT InspectorとドイツのIT雑誌CHIPが共同で行ったWi-Fiルーター9機種に対するセキュリティテストの結果、226もの脆弱性が見つかったとの報告が出ている。テスト対象となったのはASUS、AVM、D-Link、Netgear、Edimax、TP-Link、Synology、Linksys製のWi-Fiルーター(IoT InspectorPC Watch)。

最も問題が指摘されたのはTP-Link製のArcher AX6000で32個の脆弱性が発見された。続いてSynology製のRT-2600acで30個の脆弱性が指摘されている。テストの時点では、すべてのデバイスで重大なセキュリティ上の脆弱性を示しており、ハッカーの生活を楽にする可能性があると指摘している。

各製品の共通の問題として、古いバージョンのLinuxカーネルやBusyBoxを使用されているケースが多かったとしている。また初期パスワードに「admin」といった強度の低いものが使われていることが多いと指摘した。対象となったメーカーに関しては、テスト結果が伝えられており修正対応する機会が与えられた。このため多くのメーカーでファームウェアパッチが適用されたようだ。しかし重要度の低いものなどに関しては、まだ完璧な対応はされていない模様。

あるAnonymous Coward 曰く、

Edimaxとかは国内のブランドも使っているので影響ありそう

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年12月09日 16時33分 (#4166892)

    >ハッカーの生活を楽にする可能性がある
    …皮肉の利いた表現
    アメリカンジョークなんか

    • by Anonymous Coward

      ライフハックってそういう…

  • by Anonymous Coward on 2021年12月09日 16時18分 (#4166872)

    複雑にしてもメリット無し

    • by Anonymous Coward

      複雑にしなくても文字数を長くするだけで安全性はずっと向上するぞ
      たとえば admin ではなく admin1admin2admin3 とするだけでも全然違うだろう

    • by Anonymous Coward

      ランダムにしないと意味ないよな。
      どれだけ複雑かつ長くても、同一製品同一パスワードなら何の意味もない。

      • by Anonymous Coward

        「パスワードって変更できるんですよ。意外にこれ知られてないんですけど」

      • by Anonymous Coward

        macアドレスを元に初期パスワード生成してるから、一応違うという製品はあるがmacアドレス元にしてることがわかれば、固定にしてるのと大差ないものなぁ。

    • by Anonymous Coward

      …と思っていたが、最近1166世代のルータを再設定する機会があって、リセット後にweb設定に入ったら、管理パスワードを(設定しろって)聞かれたぞ
      設定するまで管理ログイン不能ってんなら、まだましかもしれん

    • by Anonymous Coward

      ランダムで長いユーザー名とパスワードをステッカーで本体に貼っとけばいいでしょ。数年前に実家で導入したバッファローのルーターはそうなってたよ。
      そりゃステッカーを読まれたら終わりだが、そもそも家に物理的に侵入されてる時点で終わってるのでそこまで考える必要はないかと。

      • 漆原教授が侵入してこっそり交換してるかも知れないしな

        親コメント
      • by Anonymous Coward

        あれねえ、たぶん、ベンダのどこかのサーバに、念のためっていって、一覧DBがあると思うわけよ
        全ロット固定パスワードよりましだけど

        • by Anonymous Coward

          MACアドレスから秘伝のロジックで生成してるのでDB要らずなんですよアレ
          SIMロック解除コードとかもそうですね
          なので秘伝のロジックが漏れたら廃業待ったなし

    • by Anonymous Coward

      うちのルーターは初期パスワード=シリアル番号だな。ひっくり返してシール見ればわかる。
      (物理的侵入では)セキュリティないけど(ネット経由では)セキュリティある。そういうのでいいんだよ。

  • by Anonymous Coward on 2021年12月09日 16時24分 (#4166881)

    調査対象ではなさそうですが全製品バッチリ影響受けるでしょうね
    どこまでの製品にファーム更新出してくれるかな

    # LTEルーターも忘れないでほしいけどほぼ期待できんだろうなぁ

    • by Anonymous Coward

      調査対象ではなさそうですが全製品バッチリ影響受けるでしょうね
      どこまでの製品にファーム更新出してくれるかな

      2017年にあったWPA2の脆弱性 [aterm.jp]のときは2011年発売のAterm WR9500Nあたりまで対応パッチが出てたので、そこそこ面倒見てくれる印象。そう、エレコムよりは(笑)
      # そろそろ11ac非対応機は切られるかなあ?

  • by Anonymous Coward on 2021年12月09日 17時06分 (#4166912)

    https://srad.jp/poll/890/ [srad.jp]
    Wi-Fi何使ってますかと聞かれたら何と答える?
    → Wi-Fiルータのブランド名・機種名:28%

    通信まわりは疎いのだけど、使ってるルータがわかったら攻撃もしやすくなったりするのかしら

  • by Anonymous Coward on 2021年12月09日 17時56分 (#4166960)

    Wifiルータのチップセット・ファームウェア・リファレンス設計を提供する会社から、
    それらを購入して、リファレンス設計ベースで作って、UIや外装をカスタマイズするだけ、みたいなのが多い

    • by Anonymous Coward

      メーカー別にこれだけの差異があるんだから
      言い訳にもならん

  • by Anonymous Coward on 2021年12月09日 18時44分 (#4167009)

    初期パスワードはランダムにして、かつ筐体の背面のラベルに貼り付けておけばいい
    そうすることで、筐体にアクセスできないハッカーにパスワード推測される確率がほぼゼロになる

    あとは標準設定でインターネット側からの管理者アクセスを制限とかすればいい

    • by Anonymous Coward on 2021年12月09日 20時30分 (#4167064)

      最近のAtermはまさにそうなってますね

      親コメント
    • by Anonymous Coward

      え、コンシューマー向けでそうじゃない製品なんてあるの!?
      つっても3、4台くらいしか使ったことないけど
      デフォルトでインターネット側から管理画面いじれるとかマジで意味不明なんだけど

      • by Anonymous Coward

        それはONU一体型のじゃないの
        nuroで話題になったやつ

        • by Anonymous Coward

          ONU一体型ってのも使ったことないが、文脈からじゃ分からんな

          そいつはインターネット側から好きにいじれてしまう製品が普通にあるんか

        • by Anonymous Coward

          HG8045Qのことなら基本的にインターネット側からは弄れませんよ。

          NURO光のHuawei製ONU「HG8045Q」に権限昇格の脆弱性、修正予定はなし | スラド IT [it.srad.jp]

          問題の機器ではWAN側のSSHポートは閉じられているため、直ちに外部から不正なアクセスをされるわけではないというのが理由のようだ。逆に言えば、内部からアクセス可能な場所――例えば公共施設や商業施設などでネットワークを訪問者に開放している場合は注意が必要になりそうだ。

          外部からNURO光のルーター(HG8045Q)をポートスキャンで確認 [tobiusa.jp]した人のブログによると、Web管理用の80番ポートも閉じら

    • by Anonymous Coward

      工場出し2千円くらいの製品で手間考えるとちょっとなー
      ランダムパスワードのシール貼るのは有りで
      デフォadmin をユーザーに使用前に儀式的に書換えさせる辺りが落としどころ

    • by Anonymous Coward

      バッファローの高いの買ったらそんな感じだった
      明示的に「INTERNET側からの管理画面アクセスを禁止する」オプションがあって安心感ある

  • by Anonymous Coward on 2021年12月10日 19時21分 (#4167762)

    >古いバージョン
    もうし〜らない♪

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...