パスワードを忘れた? アカウント作成
10679382 story
セキュリティ

ASUSのルータの脆弱性、侵入者が忠告メッセージを書いたファイルを置いて発覚 22

ストーリー by hylom
どうしてこうなった 部門より
insiderman 曰く、

ASUSのルーターに脆弱性があり、外部からローカルネットワーク内にあるストレージにアクセスされる可能性があることが発覚した(slashdot)。

Ars Technicaによると、ある男性が自分の外付けハードディスクに見慣れない「WARNING_YOU_ARE_VULNERABLE.txt」というテキストファイルがあることに気付いたという。そのファイルを開くと、そこには「あなたのAsusルーター、そしてドキュメントとはインターネット経由で世界中の誰もがアクセスできる状態になっている」とのメッセージとともに、詳細はhttp://nullfluid.com/asusgate.txtを見ろ、という旨が書いてあったそうだ。

ASUSのルータには「AiDisk」というFTPサーバー機能や、「AiCloud」という、Webブラウザやスマートフォンアプリからローカルネットワーク内のストレージにアクセスするための機能が搭載されている(PC Watchの記事)。これに脆弱性があった模様だ。ASUS側は問題を修正したパッチをすでに提供しているという。ちなみにこの脆弱性の詳細は2013年6月にseclists.orgに報告されていたそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年02月19日 13時53分 (#2547850)

    Firmware更新が何年も止まっている機種
    買った時のメーカーが消滅していてFirmwareの更新が期待出来ない機種
    身のまわりにありませんか?
    プロバイダーからのレンタルの場合、何かの問い合わせのついでに、自分が借りている機種に脆弱性がないか尋ねるのもいいと思います
    決して他人事ではありません

    • 困るなら
      自分で作ろう
      ホトトギス

      OSを入れ
      じっと手を見る

      親コメント
    • by Anonymous Coward

      > プロバイダーからのレンタルの場合、
      以下は現実的でないよ。
      ISPのサポートがそういう質問にまともに答えられるとは思えない。
      そんなことに時間かけるより、ISPがよこしたルータは脆弱なものと心得て
      大事なものは自分で用意したFWの内側にしまっておく方がよほど簡単。

      • 不勉強でよく知らないけれど、「AiCloud」がVPNをラップしたものなら、「AiCloud」を使う限りFWはVPNで穴を開けられていると考えられないかな。

        親コメント
        • by Anonymous Coward

          国産ルータの話とASUSのiCloudの話が混ざってるけど、ASUSのサイトを見る限りで言うと、iCloudはルータのUSBにUSB-HDDを接続したもの、あるいはユーザ宅内LANのWindowsファイル共有に、それに外部からWebサービスとしてアクセスができる機能のようだ。

          VPNやFirewallどころか、ルータから直接って話。

          Cloudとか名乗ってるけど、Cloudはあまり関係なさそう。

          • 日本の国産ルータでUSBの口がついているものと、今回のASUSのルータとの間に機能の差はほとんどないでしょ。
            日本の国産ルータからの情報の漏洩は、それをだれも公表していないだけで状況はアメリカと同じです
            という気がした。たぶん気のせい。

            親コメント
            • by Anonymous Coward

              国産のルータなんか、ヤマハくらいしか思い浮かばない。
              NECももしかしたら国産かもしれない。
              国産と言うより、中国産かもしれないが。

              > 日本の国産ルータでUSBの口がついているものと、今回のASUSのルータとの間に機能の差はほとんどないでしょ。
              > 日本の国産ルータからの情報の漏洩は、それをだれも公表していないだけで状況はアメリカと同じです
              > という気がした。たぶん気のせい。

              よくわからないが、iCloudはインターネット側から接続できるようだ。
              国内メーカーの仕様だと、直接インターネット側からルータにアクセスしてファイルを操作できるようなものは稀だと思うが、私が知らないだけかもしらぬ。

              国内メーカー製品だと、ルータにVPNで接続してからというものが多いだろう。
              Linksysのルータもそうだが、脆弱性があるようなCGIやらWebアプリをルータ自体が搭載していてインターネットから接続できるというのは、日本メーカーにはあまり見られない機能だと思うよ。

              • 「国産のルータ」を、日本で組み立てているというような縛りをかけると種類がすごく少なくなってしまいます。
                日本人から見て日本の企業が販売しているルータという程度の縛りでお願いします。

                ぱっと調べてみたら、バッファローのWZR-1166DHPという機種で、Webアクセス機能で外出先からファイルを要求できます。
                「あまり見られない機能」なのかもしれません。
                念のため付言しますが、WZR-1166DHPで情報漏洩しているということではありません。

                以前に別件で調査した時に、無線LANルータで情報漏洩しているという内容のログを作った記憶があったので、ログを漁ってみました。
                ASUSの2機種(RT-N66UとRT-N56U)で「国産のルータ」ではありませんでしたorz。
                セキュリティの素人の私でも日本で無線LANルータが情報漏洩の元になっていることを知っていたのだから、セキュリティのプロの人の中ではある程度は有名な話だろうと推測します。

                親コメント
      • by Anonymous Coward

        ルーターモデムに接続されたひかり電話やIP電話はどうするの?

        • by Anonymous Coward

          ひかり電話ONUルータのひかり電話機能だけ使って、インターネット接続機能は別のルータをカスケード接続すればいいだろ。

      • by Anonymous Coward

        auひかりだと勝手にファームウェアを更新していたと思う。
        (知らない間にipv6対応になっていた)
        # 脆弱性が迅速に修正されているかどうかは別問題

    • by Anonymous Coward

      発売十年を経て未だに現行機種でアップデートも出ているBBR-4HG/4MGを使おう!

      • by Anonymous Coward

        NATセッション数800本しかないしセッションタイムアウトも設定できないし、
        昨今使うのはそろそろ厳しくなってきていないか

  • by Anonymous Coward on 2014年02月19日 14時37分 (#2547872)
    で、その警告に従って専門家に相談に行ったらその専門家がルパン、まで既出。
  • 以前、近所のマクドナルドが「パソコン持った(日本語不自由な[推測])人で大人気」だったことがあり、その理由は野良APアクセスし放題だったからでした。

    試しにゲートウェイIPアドレスにhttpアクセスしたら、ノーパスワードで管理者画面に(´・ω・`)
    適当なパスワード設置して、おこうかと思いましたが………それをやると犯罪行為だと思ったのでやめました。

    ※結局気づいたのか、ルーター代わって不人気店舗になったとさ

    • by Anonymous Coward

      > パソコン持った(日本語不自由な[推測])人
      ???

      • by Anonymous Coward
        会話もせずに黙々とパソコンばかりしてる人たち=喋ることができない人=日本語できない
        とかそういう意味じゃないかな。これもまた推測だけど。

        # そういう意味だとしたら、静かならいいじゃないって思うけど。
        # 某狩ゲームでたまにうるさいのとかいると勘弁してほしい。
        • by Anonymous Coward

          > パソコン持った(日本語不自由な[推測])人

          単に外国人っぽい人達って意味では?

        • by Anonymous Coward

          自分のことを言っているんじゃないかな。
          文章を読むとわかりますが、日本語を使うのが不自由みたいですし。

    • by Anonymous Coward

      >パスワードなしだと不正アクセス禁止法に当たらないかなぁ?
      パスワードなしのシステムなら意図しないアクセスをされても不正アクセス禁止法には該当しないでしょうね。
      どんなにショボいパスワードでもかかっていれば不正アクセスに該当するでしょう。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...