パスワードを忘れた? アカウント作成
13211315 story
セキュリティ

全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 52

ストーリー by hylom
何ができるのだろう 部門より

ドイツの家電メーカーMiele(ミーレ)の業務用全自動食器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(RegisterSeclist.org)。

問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。

脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。

さすがに食器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある食器洗い機も少ないとは思われるが、第三者によって食器洗い機が乗っ取られる可能性もないとは言えない。IoT技術の普及によって、IT関連に疎いメーカーがネットワークに接続できる機器を発売するケースは今後増えると思われるが、利用者のほうでも注意が必要だろう。

(追記@4/10 17:00)問題の機器「Miele Professional PG 8528」は食器洗い機ではなく、「washer-disinfector」(洗浄消毒器)とのこと。3月29日付けでMiele社がこれについてのプレスリリースを出しており、「脆弱性があったことは事実だが、この機器は食器洗い機ではなく消毒器である」「問題の脆弱性によってハッカーがパスワードを取得し機器のソフトウェアにアクセスできる可能性はあるが、これによって問題の機器が『踏み台』として使われる可能性は低い」「ソフトウェアのアップデートにも取り組んでいる」としている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 以上加熱させて放火とかできたら嫌ですねえ。

    • by Anonymous Coward

      何℃以上?

    • by Anonymous Coward

      さすがに火事はむりだろうけど、夜中に水流しっぱなしにして、水道代が火を噴くのは簡単にできるかも。

      • by Anonymous Coward

        温水機能が有るのだから、そこの温度設定を弄って何度でも温度が上がるようにしてしまえば、火事は起こせると思います。
        そういう設定機能を外部に対して開いていれば、ですが。

    • by Anonymous Coward

      CSI:CYBERのネタじゃないですか

  • by Anonymous Coward on 2017年03月31日 8時34分 (#3185337)

    >ハッシュ化されたパスワードが記録されたファイル
    >(/etc/shadow)
    いまだにハッシュドパスワードをここに持ってるの?

    • by Ryo.F (3896) on 2017年03月31日 9時55分 (#3185401) 日記

      今どきActive Directory認証だろ、とかって話?
      それでも/etc/shadowは無くならないと思うけど。

      親コメント
    • by Anonymous Coward

      /etc/passwdと勘違いしてんのかな
      それとも組み込みでLDAPなんか使ってるとでも

    • by Anonymous Coward

      うちのFedora25マシンを確認してみたら、いまだにここにハッシュドパスワード持ってました!やばーい!

      • by Anonymous Coward

        >いまだにここにハッシュドパスワード持ってました!やばーい!
        すぐに消してください。

        • by Anonymous Coward
          こうですか?わかりません><
          # cat /etc/shadow
          root::::::::
        • by Anonymous Coward

          開くことすら出来ないのですけど、どうしたら良いのでしょう

          $ uname -r
          4.10.5-200.fc25.i686
          $ ls -l /etc/shadow
          ----------. 1 root root 1409 xx月 xx xx:xx /etc/shadow

          • by Anonymous Coward
            rootはアクセス権000のファイルも開けるんやで
  • /etc/passwdに生書きするのではなく、/etc/shadowに分けようとなった時から
    /etc/shadowは、root:rootかroot:wheelで640なわけだ
    プログラムにどれだけミスがあっても、OS組み込みの保護機能を越えることはできない

    つまりWebサーバー機能にディレクトリトラバーサルの脆弱性があったとして
    その脆弱性によって/etc/shadowが読めたのなら
    そのWebサーバーは、最低でもrootかwheelに属していたことになる
    根本的問題はそこだろ
    ディレクトリトラバーサルの脆弱性を塞ぐよりも先に
    そのふざけた運用方針をどうにかすべき

    setuid/setgid(not root)して行う場合であっても、作業は最低限にするなんて常識だし
    ましてや全てがroot権限で動作するWebサーバーなんて論外だ

    • by Anonymous Coward

      つーか、食器洗い機なんてrootだけでも十分。
      そんなもの仮にクラックされたところでどうともならんだろ。

      #3185336が言うように火ぃ吹くようなバグを見つけてから騒いだらいい。

      • そうはいうが今日日この手のマシーンでもbotnetのノードにされちゃうからなあ
        難儀な時代だな

        親コメント
        • by Anonymous Coward

          botnetのノードにされて、なんか困る?

          • by Anonymous Coward

            そりゃおまえ困…困…あれ…困らない気がしてきた…いい…いっか…意識低くしていこっか…

          • by Anonymous Coward
            電気代ガー
          • by Anonymous Coward

            botnetのノードにされて何故困るか解らない子がスラドに紛れ込むとは、難儀な時代だな。

            • by Anonymous Coward
              botnetのノードにされた当人は別に困らねぇよ
              だからbotnetが蔓延するんだろうが。実害出てたらいくら意識低くても即対策するわ
              そんなことも解らない子がスラドに紛れ込むとは、難儀な時代だな。
              • by Anonymous Coward

                確かに短期的には、言うほど困ったと感じられないのがやっかいなんだよねえ・・・
                実際には困ったことは裏側で発生しているよ。
                ネットワーク帯域を食いつぶされるとか、CPU100%で電力を割増払いさせられるとか、
                発熱量の増加でメーカー想定外の火災リスクが生まれる、とか
                でもこういうのって表立っては見えにくいから。

                さらに言うと bot netがどこかで被害を出し、その攻撃元の1つだと発覚した場合
                善管注意義務違反による損害賠償の責務が生まれるから
                長期的な潜在リスクって意味でなら、まともな頭をしてりゃあ
                怖くて即対応するんだけどね・・・

              • by Anonymous Coward

                botnetのノードにされた当人は別に困らねぇよ

                「当人」が困る状況を一つも思いつかないの?
                「困る」の主語に「当人」しか思いつかないの?
                そんな困った子がスラドに紛れ込むとはね。
                やれやれ。

        • by Anonymous Coward

          警察が
          「おたくのIPから不正アクセスがありまして」
          って朝尋ねに来るのか。

          でもって調査の為に食洗機を持ってくのか

          • 業務用持ってくのは大変ですな (そこかよ
            親コメント
          • by Anonymous Coward

            PC乗っ取りでIPアドレスが一致したというだけで反論も聞いてもらえずに逮捕されてしまった事例がある以上、リスクは避けた方が無難でしょうね。

            • by Anonymous Coward

              そういう事例とボットネットに参加してるデバイスの数、
              交通事故に遭う事例と自動車の数、ってなを考えると、
              そのリスクを避けるためにどれほどのコストをかけるべきか疑問。

              • by Anonymous Coward

                そりゃあ、高いコストをかけるのは割りに合わないかも知れないが、
                流石にこのレベルの話なら、対策にほとんど金かからないだろ……。
                ファイルの権限を適切に設定するだけだろ?

              • by Anonymous Coward

                誰にとっての話してるのか知らんが、レストランのオーナーにしてみりゃ
                食器洗い機のファイル権限を適切に設定するのは「だけ」ってレベルじゃないと思うぞ。

              • さすがにそれは食洗機メーカー(orベンダー)の仕事でしょう
                親コメント
          • by Anonymous Coward

            税務署「皿洗いの回数からすると売上申告が少なすぎる」

      • by Anonymous Coward

        そういうおバカプログラマが書いたプログラムがシステムを破壊したら困る、
        という理由でサービス用プログラムには root 以外で動いていただきたく。

        最悪、再起動すればなおるじゃん?

        誰にネットワーク接続を許可するのか、を記憶するエリアは少なくとも書き込み可能なはずだし
        全部 ROM って訳ではなさそうですもの。

      • by Anonymous Coward

        基地の稼働状況を把握されたりして。

        • by Anonymous Coward

          滅菌・乾燥もオプションつければいけるし
          壁に設置して汚染区側から入れ清潔区側から取り出す運用もできるし
          バーコードスキャナーオプションがあったり
          ペトリ皿とかビーカーという記述
          内容物や血液のこびりつきは落として入れてねという記述があったり
          本格的ですね。
          データシートに記録を残す必要があるような所で使うんですね。
          スパイ活動の対象になるような施設で使われる可能性もありそうですね。

      • by Anonymous Coward

        こういう発想の人が設計したんだろうなぁ。
        rootで動かしてると、脆弱性があった時に被害が拡大するということが理解できないのか。

    • by Anonymous Coward

      Busybox の httpd で CGI を許可してたとかかな

    • by Anonymous Coward

      80番みたいな特権ポートを非rootユーザでバインドしようとしてもLinuxじゃなんかCapabilityが思ったようにいかない…って、ちゃんとしたのってカーネル4.3だった [hatenablog.com]の?つい最近じゃん!
      なんかもう特権ポート自体廃止の方向になってほしいよ。rsh使ってた時代ならいざ知らず、もう意味あります?

  • by Anonymous Coward on 2017年03月31日 13時45分 (#3185536)

    秘密のファイルのやりとりの舞台になったりして

  • by Anonymous Coward on 2017年04月01日 1時22分 (#3185910)

    ・答えられる開発者が最初から居ない
    ・答えられる開発者を用済みと判断してポイ捨て
    さてどっちかな?

    • by Anonymous Coward

      #3185362 [srad.jp]みたいな奴らが開発した(から無視した)

  • by Anonymous Coward on 2017年04月10日 15時43分 (#3191006)

    http://nlab.itmedia.co.jp/nl/articles/1704/10/news061.html [itmedia.co.jp]

    # いまさらこんなとこにコメント書いても見るやついるのか知らんけど。

  • by Anonymous Coward on 2017年04月10日 15時47分 (#3191008)

    2017年04月10日 11時55分 更新
    まとめサイトが「セキュリティ問題で第三者に皿を洗われる危険性」と事実誤認 メーカーは「食器洗い機での不具合は未発見」と否定
    http://nlab.itmedia.co.jp/nl/articles/1704/10/news061.html [itmedia.co.jp]

    嘘情報を拡散してしまいましたね。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...