パスワードを忘れた? アカウント作成
13548407 story
セキュリティ

コレガの無線LANルーター「CG-WGR1200」に脆弱性、対策の予定なし 57

ストーリー by hylom
5年前と考えるとちょっと微妙ではある 部門より

コレガが2013年に発売した無線LANルーター「CG-WGR1200」に複数の脆弱性があることが公表された。すでにコレガによるサポートは終了しており、ファームウェアの修正などコレガによる対策は実施されない。そのため、利用者に対しては使用停止が推奨されている(INTERNET Watch)。

JVN#15201064によると、存在が明らかになった脆弱性はバッファオーバーフローおよびOSコマンドインジェクション、認証不備の3つで、第三者によって任意のコードやOSコマンドの実行、ログインパスワードの変更などが行われる可能性があるという。

コレガの無線LANルーターに対しては過去にもサポートが終了した機器に脆弱性が見つかり、使用中止が呼びかけられたことがあった(過去記事1過去記事2)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by uippi (9904) on 2018年03月13日 11時23分 (#3375247) 日記
    水牛と馬鹿にされるBUFFALOは比較的古いルータや無線機器でもファーム更新を行いますが、コレガはあっさりサポートを切るんですよねぇ。
    この話題になっているルーター、2013/6発売でファーム最新版が2014/6/5。
    全く手を入れる必要が無い完璧な製品なんて無いと思っているのですが、コレガはそう思っているのかなと思うしかないサポート体制なんですよね。

    ただコレガがそういうサポート体制なのは昔からなので、知っている人は避けるべきメーカーだと分かっている筈ですが……手頃な価格で買い求めるのは素人さんだという。
    相談されたら「止めとけ」ってアドバイスしますが、店員は知ったこっちゃないでしょうし、そもそもそういうメーカーだという知識も無さそうだし。
    いやはや困りましたね。
    #親であるアライドテレシスではこんな商売はしない……よね?w
    • by Anonymous Coward on 2018年03月13日 11時36分 (#3375254)

      本体に「使用期限 2018年3月まで」とかデカデカと書いておいて欲しいですねぇ…。

      壊れてないのに消費期限切れがあり得る、とは普通の人は思わないでしょうし。

      親コメント
      • by Anonymous Coward on 2018年03月13日 11時53分 (#3375267)

        冗談抜きで期限切れで機能停止するように実装しておいて、
        その分製品価格に反映する方が双方幸せかもわからんですね。

        無線LANルーターは買い替えるきっかけが欲しい気持ちもなきにしもあらず。

        親コメント
        • by Anonymous Coward

          製造コストや開発コストは同じだけかかるのだから、サポートコスト分価格に反映しても雀の涙じゃないのかね

      • by Anonymous Coward

        OSはサポート期限を事前に告知してるんだから、ハードウェアもあって良いよね。
        LTSとか通常モデルとか分かったら選びやすい。

        • by Anonymous Coward

          NECのPCだと、ビジネス機で出荷から5年、コンシューマー機で6年って明示してるよ。
          ファクトリーモデルもサポート期限最初っから明示してる10年以上なんで先にOSのサポートが死ぬけど
          型番検索で何時まで修理可能か判るし
          新しいOSのサポートは3年前までの機種って決まってる。

      • by Anonymous Coward

        > 水牛と馬鹿にされるBUFFALO
         
        巷にはバッファロー製品が溢れている。
        いわゆる、バッファローオーバーフローである。

        • by Anonymous Coward

          知人がBUFFALOの奴を買って立ち上げてSSIDを見たら似たり寄ったりのがたくさん出て、
          本体添付のカードを見ないと繋げられなかったって言っていたな。

          • by Anonymous Coward

            初期パスワードがかかっていますから、出たのが1台だけだとしても、どのみち本体添付のカードを見ないと繋げられませんけどね。

            つか、WPSなりAOSSなりあるでしょうに。

      • by Anonymous Coward

        コレガさんにはぜひ、出張や旅行時用の奴をお願いします。
        バッテリー嵌め殺しで、電池切れで使用期限完了。
        店に回収箱を置いて回収してバッテリー替えて再出荷。
        その分安い、と。

        「つながるんです」とかの名前で。

    • by Anonymous Coward on 2018年03月13日 11時51分 (#3375266)

      誰も反応してあげないのは可哀想なので一応「寒い」とだけ言っておいて・・・

      コレガのルーター買うのって得体のしれないAndroid端末を買うようなモノでしょう。
      ファームのアップデートなんぞあれば儲けモノ、ぐらいに思って買わなきゃ。
      もっとも得体のしれたメーカー品ならアップデートがあるかと言えば・・・
      と、今ではジャンク箱の肥やしとなっているIS01を思い出しつつ orz

      親コメント
    • by Anonymous Coward on 2018年03月13日 12時23分 (#3375278)

      アライドテレシス社コレガ事業部になってマシになるかと思ってたんだけど…。
      再独立してたのか。

      アライドテレシスの評判にも響いているので、主要株主として何とかしてほしい。

      親コメント
      • by Anonymous Coward

        アライドテレシスのサポートもクソなので、問題ありません。

        #高いサポート料を取っておきながらトラブルの調査を依頼すると「テスト環境で再現できましたが、企業秘密が含まれるので解決方法は案内できません」とか言ってくるとか。
        #サポート契約をすると一台一台にチケットを発行して、ご丁寧に一枚一枚封筒に入れて、それ全てWebページに入力しないとサポートが有効にならない。社内ネットワークで使うとなれば100台オーバーになることもあるのに、それをユーザにやらせる。
        #特定バージョンのJavaでしか開けないスイッチの設定Webとか。
        #高い金出して導入したからしばらく使うけど、何年か先に更新するときは他社に変更することにしています。

    • by Anonymous Coward

      エンバグも辞さない勢いで新機能をガンガンファームアップデートに突っ込んでくる某Y社と対照的ですな

    • by Anonymous Coward

      昔からバッキャローとか言われてるけどネットワーク機器に限っては優秀な方だと思うぞ。
      ウンコレガと比べるのは失礼。

      • by Anonymous Coward

        昔のバッファローはへっぽこでしたけど今は無線LANの第一線ですね
        私はNEC一択ですが

        • by Anonymous Coward

          NECって初期のファームがだいぶアレなイメージがあるけどどうよ

        • by Anonymous Coward

          NECが鉄板(業務用は除く)だったのは
          残念ながら一昔前ですね

          昨今はIPv6対応や脆弱性対応など
          他社者に遅れを取ること半年から1年は当たり前
          シリーズ変えて旧シリーズ放置とかもやってますし
          近年ではNECを人に進められないっすねぇ

          バッファローが第一線な理由は2つ
          ・電波強すぎ!?いいのかそれ?傍迷惑だが俺(利用者)は知らん
          ・DD-WRT対応機種が多いので最悪自前対応出来るという安心感

          # ここ見ないような人に進める鉄板が近年無いんだよなぁ

          • by Anonymous Coward

            最近のモデル(自分は WG2600HP2 [aterm.jp]を2個イーサネットコンバータとして利用中)はUI変わって、ログ(syslog)が全く取れなくなってゴミな感じですね。
            障害時のトラブルシューティング不可とか控えめに言ってゴミです。
            DFSが働いて通信が切れたとしても、ログが無いので確認する方法がない。
            ポートフォワーディングも外と中が同じポートのみという使い難い仕様。
            スループット表記が理論値表記よりマシとはいえ、合算値のみ表記する暴挙 [aterm.jp]

            今のNECのメリットは、
            ・無線通信自体は比較的安定している(気がする)
            ・DLNA/WOLに多分対応(WOLに若干問題有り/バッファローがサポートしてる機種はMax1300Mbp

          • by Anonymous Coward

            >バッファローが第一線な理由は2つ
            >・電波強すぎ!?いいのかそれ?傍迷惑だが俺(利用者)は知らん
            隣に並んだビルで、各階交互に入れてってので5GHzで使って居たトロコを知って居る。
            なんか間違って居る気がしたが、大した付き合いも無いのでまあ、見なかった事に。

    • by Anonymous Coward

      以前使ってた2009年のモデルは最終ファームが2013年に出た。
      モノによるんじゃないだろうか。

  • サポートも何も (スコア:4, 参考になる)

    by Anonymous Coward on 2018年03月13日 11時41分 (#3375259)

    コレガの無線LANは現行品がないし、最新機種の最新ファームすら2016年のリリース。
    すでに無線LANは撤退していると思った方がよいかと。

    • by Anonymous Coward

      So-netセキュリティ通信では、コレガの他の無線LAN製品に関しても他社製品への買い替えの検討を促していますね。

      コレガの無線LAN親機に「深刻な脆弱性」判明、他社製品に買い替えを
      http://security-t.blog.so-net.ne.jp/2018-03-09 [so-net.ne.jp]

    • by Anonymous Coward

      オープンリゾルバ騒動のときも、ファームウェアアップデート無しでしたね。

    • by Anonymous Coward

      事業内容とかみても無線LANは取り扱ってないですね
      修正できないというよりは、修正できる部門解散して人がいないので対応できないぐらいの感じってことでしょうか

  • by Anonymous Coward on 2018年03月13日 11時19分 (#3375243)

    CGから始まるSSIDを見かけるからまだ使ってる人は相当居るんじゃないか

    • by Anonymous Coward

      ハニーポットのSSIDはCG~にすべきか

  • by Anonymous Coward on 2018年03月13日 11時30分 (#3375250)
    しーましぇーん!
    • by Anonymous Coward

      悲しいけどこれが戦争なのよね。

  • by Anonymous Coward on 2018年03月13日 12時18分 (#3375277)

    コレガって一応アライドテレシスの子会社というか1部門になってるわけなんだから
    コレガブランドだからとサポートしないようじゃ
    アライドテレシスの方にも悪いイメージが…

    すっごく高いというイメージはついてるけど…

    • > すっごく高いというイメージはついてるけど
      アライドって、業務用じゃ「安物」ってイメージだったけど、最近は違うの?

      • by Anonymous Coward

        いまは貧乏人のCiscoはHPが買収したアルバネットワークスでしょう。
        すげー安いしライフタイム保証ついてるし、むしろアライドを選ぶ意味を
        全然感じない。

        ガートナーのマジッククワドラントでもCiscoに近い位置にいるし。

    • by Anonymous Coward

      https://www.allied-telesis.co.jp/products/index.html#s08 [allied-telesis.co.jp] に
      > コレガブランド製品はこちら ▶
      > ネットワークカメラ、無線LANルーターなどのIoT周辺機器
      と書いてある。
      コレガブランドの無線LANルーターに対する方針がよくわからない。

    • by Anonymous Coward

      うちはアライドテレシスも選択肢から外した。
      クライアントぶら下げる用途には高いし、バックボーン任せるには心もとない。

  • by shesee (27226) on 2018年03月13日 17時21分 (#3375504) 日記

    今はNetgearでもAsusでも選べるからな。
    Appleの今のタイムカプセルは一体何年現行製品なのか。(HDD3TBは追加した。)

    • by Anonymous Coward

      TP-Linkはアクセスポイントで外部に通信する必要がないのに
      外部に通信しに行こうとするなど、おかしい仕様が多いらしいですし
      (先日のNTPOの件で検証した人のブログ)

      候補から「外す」リストの筆頭ですね

  • by Anonymous Coward on 2018年03月13日 13時52分 (#3375335)

    アプライアンスのルーターもいいのだがサポート期間を明示してほしいと思うのは私だけかな?

  • by Anonymous Coward on 2018年03月13日 14時39分 (#3375360)

    こいつWindowsのネットワークに出てくるんで近くにいるんですよねぇ

    最初出たときは「すわ!ハッキングか!?」とびっくらこいたけど
    居るのが見えるだけでこっちのネットワークに繋がってるわけじゃない
    ってのがググってようやくわかり一安

    とはいえ
    コレが使ってるくらいだから
    今後も本人気づかないだろうし気にしないだろうし
    通報できるわけでもないし

    Windowsのネットワークに
    受け入れていないものが出てくるのは
    どうにかならんもんですかね

    • by Anonymous Coward

      無線LANのSSIDリストの一覧に出てくるやつとかで無ければ、それは繋がっている可能性が高い。
      繋がっちゃう可能性としては、そいつが暗号化かけていなくて、知らずにおまいがそのハニーポットに接続して使っているか、
      そいつがコレガのWLANルータを使っておまいのWLANルーターにブリッジ接続してネットワークを乗っ取っている。

  • by Anonymous Coward on 2018年03月13日 14時43分 (#3375362)

    検索してみました。
    OEM とかで出していたこともあるんでしょうか。

    $ cat oui.txt | grep -i corega | grep base\ 16
    00041D (base 16) Corega of America
    000A79 (base 16) corega K.K
    002687 (base 16) corega K.K
    $ cat oui.txt | grep -i allied\ telesis | grep base\ 16
    000C25 (base 16) Allied Telesis Labs, Inc.
    001577 (base 16) Allied Telesis, Inc.
    ECCD6D (base 16) Allied Telesis, Inc.
    001130 (base 16) Allied Telesis (Hong Kong) Ltd.
    001AEB (base 16) Allied Telesis R&D Center K.K.
    000DDA (base 16) ALLIED TELESIS K.K.
    0000F4 (base 16) Allied Telesis, Inc.
    E01AEA (base 16) Allied Telesis, Inc.
    009099 (base 16) ALLIED TELESIS, K.K.
    00A0D2 (base 16) ALLIED TELESIS INTERNATIONAL CORPORATION
    0000CD (base 16) Allied Telesis Labs Ltd
    000941 (base 16) Allied Telesis R&D Center K.K.

    他社と比べて売れてないのかな、よく見るところを挙げてみると……。
    よく見かけるところはこれくらいかな。
    $ cat oui.txt | grep -i buffalo | grep base\ 16
    000D0B (base 16) BUFFALO.INC
    000740 (base 16) BUFFALO.INC
    0024A5 (base 16) BUFFALO.INC
    DCFB02 (base 16) BUFFALO.INC
    004026 (base 16) BUFFALO.INC
    7403BD (base 16) BUFFALO.INC
    84AFEC (base 16) BUFFALO.INC
    001D73 (base 16) BUFFALO.INC
    001601 (base 16) BUFFALO.INC
    106F3F (base 16) BUFFALO.INC
    8857EE (base 16) BUFFALO.INC
    343DC4 (base 16) BUFFALO.INC
    4CE676 (base 16) BUFFALO.INC
    B0C745 (base 16) BUFFALO.INC
    CCE1D5 (base 16) BUFFALO.INC
    $ cat oui.txt | grep -i nec\ platforms | grep base\ 16
    C025A2 (base 16) NEC Platforms, Ltd.
    001B8B (base 16) NEC Platforms, Ltd.
    0060B9 (base 16) NEC Platforms, Ltd
    98F199 (base 16) NEC Platforms, Ltd.
    A41242 (base 16) NEC Platforms, Ltd.
    003A9D (base 16) NEC Platforms, Ltd.
    106682 (base 16) NEC Platforms, Ltd.
    1CB17F (base 16) NEC Platforms, Ltd.
    000D02 (base 16) NEC Platforms, Ltd.
    $ cat oui.txt | grep -i i-o\ data | grep base\ 16
    3476C5 (base 16) I-O DATA DEVICE, INC.
    00A0B0 (base 16) I-O DATA DEVICE, INC.
    $ cat oui.txt | grep -i \ elecom | grep base\ 16
    BC5C4C (base 16) ELECOM CO.,LTD.
    000F95 (base 16) ELECOM Co.,LTD Laneed Division
    0090FE (base 16) ELECOM CO., LTD. (LANEED DIV.)

  • by Anonymous Coward on 2018年03月13日 14時59分 (#3375375)

    以前使ってたNECのルータが確かHeartbleedかなんかに引っかかって、古かったから修正もされないって事で買い替えたような記憶があるなぁ。

    • by Anonymous Coward

      NECのルータが確かHeartbleedかなんかに引っかかって、古かったから修正もされないって事で

      そんなことはありますん
      LTEルータの修正だってしっかりされていますよ
      BlueBorneやKRACKsにもちゃんと対応しました

      問い合わせ当初は問題ありませんって回答してたし、、、
      半年遅れでファームだしてたし、、、
      ちゃんと、、、たいおう、、して、、、ますん、、、

      • by Anonymous Coward on 2018年03月13日 16時51分 (#3375476)

        新製品(MP01LN)作ってて非常に後回しにされた感はありますが、MR03LN~MR05LNまで対応してくれたのは良かった。
        # MR04LNは今までauは無保証だったのが、接続確認も実施されたのもミソかも。 [aterm.jp]

        親コメント
      • by Anonymous Coward

        社歴の長い一流メーカーと新興IT企業の違いはそこだよね。

        シャープとか東芝とか破綻した企業ですらリコール掛かったら10年以上前の製品でも無償修理するし、
        場合によっては定価買取までやるのにコレガときたら脆弱性情報すらアナウンスしてないという・・・

        • by Anonymous Coward

          >社歴の長い一流メーカーと新興IT企業の違いはそこだよね。

          そうか?
          俺には”価格相応”なサービスにしか思えんぞ。

          • by Anonymous Coward

            言うほど安くもないし、そもそも人材いないから高い価格でも対応できないでしょ。
            今回の件だって「対応しない」んじゃなくて「分かる人は全員退職してるから対応できない」ってオチじゃんw

            • by Anonymous Coward

              なおさら社歴の問題じゃないじゃん。

        • by Anonymous Coward

          > リコール掛かったら10年以上前の製品でも無償修理するし
           
          お、そうなんか。今まで見向きもしてなかったけどスマホはシャープせいにするべきやったか...
          PCも東芝のにしてれば、古いPCでもMeltdow、Spectre対応してくれるんか。

        • by Anonymous Coward

          リコール掛かったら10年以上前の製品でも無償修理する

          そこまでするからこそ「リコール」でしょ。

    • by Anonymous Coward

      壊れないもんだからWR7600を今でも使ってる。
      使用不能で壊れない限りあんまり買い替えに対する動機にならないよね。

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...