コレガの無線LANルーター「CG-WGR1200」に脆弱性、対策の予定なし 57
ストーリー by hylom
5年前と考えるとちょっと微妙ではある 部門より
5年前と考えるとちょっと微妙ではある 部門より
コレガが2013年に発売した無線LANルーター「CG-WGR1200」に複数の脆弱性があることが公表された。すでにコレガによるサポートは終了しており、ファームウェアの修正などコレガによる対策は実施されない。そのため、利用者に対しては使用停止が推奨されている(INTERNET Watch)。
JVN#15201064によると、存在が明らかになった脆弱性はバッファオーバーフローおよびOSコマンドインジェクション、認証不備の3つで、第三者によって任意のコードやOSコマンドの実行、ログインパスワードの変更などが行われる可能性があるという。
コレガの無線LANルーターに対しては過去にもサポートが終了した機器に脆弱性が見つかり、使用中止が呼びかけられたことがあった(過去記事1、過去記事2)。
コレガはこれがあるからなぁ (スコア:4, 参考になる)
この話題になっているルーター、2013/6発売でファーム最新版が2014/6/5。
全く手を入れる必要が無い完璧な製品なんて無いと思っているのですが、コレガはそう思っているのかなと思うしかないサポート体制なんですよね。
ただコレガがそういうサポート体制なのは昔からなので、知っている人は避けるべきメーカーだと分かっている筈ですが……手頃な価格で買い求めるのは素人さんだという。
相談されたら「止めとけ」ってアドバイスしますが、店員は知ったこっちゃないでしょうし、そもそもそういうメーカーだという知識も無さそうだし。
いやはや困りましたね。
#親であるアライドテレシスではこんな商売はしない……よね?w
Re:コレガはこれがあるからなぁ (スコア:2, すばらしい洞察)
本体に「使用期限 2018年3月まで」とかデカデカと書いておいて欲しいですねぇ…。
壊れてないのに消費期限切れがあり得る、とは普通の人は思わないでしょうし。
Re:コレガはこれがあるからなぁ (スコア:2, 参考になる)
冗談抜きで期限切れで機能停止するように実装しておいて、
その分製品価格に反映する方が双方幸せかもわからんですね。
無線LANルーターは買い替えるきっかけが欲しい気持ちもなきにしもあらず。
Re: (スコア:0)
製造コストや開発コストは同じだけかかるのだから、サポートコスト分価格に反映しても雀の涙じゃないのかね
Re: (スコア:0)
OSはサポート期限を事前に告知してるんだから、ハードウェアもあって良いよね。
LTSとか通常モデルとか分かったら選びやすい。
Re: (スコア:0)
NECのPCだと、ビジネス機で出荷から5年、コンシューマー機で6年って明示してるよ。
ファクトリーモデルもサポート期限最初っから明示してる10年以上なんで先にOSのサポートが死ぬけど
型番検索で何時まで修理可能か判るし
新しいOSのサポートは3年前までの機種って決まってる。
Re: (スコア:0)
> 水牛と馬鹿にされるBUFFALO
巷にはバッファロー製品が溢れている。
いわゆる、バッファローオーバーフローである。
Re: (スコア:0)
知人がBUFFALOの奴を買って立ち上げてSSIDを見たら似たり寄ったりのがたくさん出て、
本体添付のカードを見ないと繋げられなかったって言っていたな。
Re: (スコア:0)
初期パスワードがかかっていますから、出たのが1台だけだとしても、どのみち本体添付のカードを見ないと繋げられませんけどね。
つか、WPSなりAOSSなりあるでしょうに。
Re: (スコア:0)
コレガさんにはぜひ、出張や旅行時用の奴をお願いします。
バッテリー嵌め殺しで、電池切れで使用期限完了。
店に回収箱を置いて回収してバッテリー替えて再出荷。
その分安い、と。
「つながるんです」とかの名前で。
Re:コレガはこれがあるからなぁ (スコア:1)
誰も反応してあげないのは可哀想なので一応「寒い」とだけ言っておいて・・・
コレガのルーター買うのって得体のしれないAndroid端末を買うようなモノでしょう。
ファームのアップデートなんぞあれば儲けモノ、ぐらいに思って買わなきゃ。
もっとも得体のしれたメーカー品ならアップデートがあるかと言えば・・・
と、今ではジャンク箱の肥やしとなっているIS01を思い出しつつ orz
Re:コレガはこれがあるからなぁ (スコア:1)
アライドテレシス社コレガ事業部になってマシになるかと思ってたんだけど…。
再独立してたのか。
アライドテレシスの評判にも響いているので、主要株主として何とかしてほしい。
Re: (スコア:0)
アライドテレシスのサポートもクソなので、問題ありません。
#高いサポート料を取っておきながらトラブルの調査を依頼すると「テスト環境で再現できましたが、企業秘密が含まれるので解決方法は案内できません」とか言ってくるとか。
#サポート契約をすると一台一台にチケットを発行して、ご丁寧に一枚一枚封筒に入れて、それ全てWebページに入力しないとサポートが有効にならない。社内ネットワークで使うとなれば100台オーバーになることもあるのに、それをユーザにやらせる。
#特定バージョンのJavaでしか開けないスイッチの設定Webとか。
#高い金出して導入したからしばらく使うけど、何年か先に更新するときは他社に変更することにしています。
Re: (スコア:0)
エンバグも辞さない勢いで新機能をガンガンファームアップデートに突っ込んでくる某Y社と対照的ですな
Re: (スコア:0)
昔からバッキャローとか言われてるけどネットワーク機器に限っては優秀な方だと思うぞ。
ウンコレガと比べるのは失礼。
Re: (スコア:0)
昔のバッファローはへっぽこでしたけど今は無線LANの第一線ですね
私はNEC一択ですが
Re: (スコア:0)
NECって初期のファームがだいぶアレなイメージがあるけどどうよ
Re: (スコア:0)
NECが鉄板(業務用は除く)だったのは
残念ながら一昔前ですね
昨今はIPv6対応や脆弱性対応など
他社者に遅れを取ること半年から1年は当たり前
シリーズ変えて旧シリーズ放置とかもやってますし
近年ではNECを人に進められないっすねぇ
バッファローが第一線な理由は2つ
・電波強すぎ!?いいのかそれ?傍迷惑だが俺(利用者)は知らん
・DD-WRT対応機種が多いので最悪自前対応出来るという安心感
# ここ見ないような人に進める鉄板が近年無いんだよなぁ
Re: (スコア:0)
最近のモデル(自分は WG2600HP2 [aterm.jp]を2個イーサネットコンバータとして利用中)はUI変わって、ログ(syslog)が全く取れなくなってゴミな感じですね。
障害時のトラブルシューティング不可とか控えめに言ってゴミです。
DFSが働いて通信が切れたとしても、ログが無いので確認する方法がない。
ポートフォワーディングも外と中が同じポートのみという使い難い仕様。
スループット表記が理論値表記よりマシとはいえ、合算値のみ表記する暴挙 [aterm.jp]
今のNECのメリットは、
・無線通信自体は比較的安定している(気がする)
・DLNA/WOLに多分対応(WOLに若干問題有り/バッファローがサポートしてる機種はMax1300Mbp
Re: (スコア:0)
>バッファローが第一線な理由は2つ
>・電波強すぎ!?いいのかそれ?傍迷惑だが俺(利用者)は知らん
隣に並んだビルで、各階交互に入れてってので5GHzで使って居たトロコを知って居る。
なんか間違って居る気がしたが、大した付き合いも無いのでまあ、見なかった事に。
Re: (スコア:0)
以前使ってた2009年のモデルは最終ファームが2013年に出た。
モノによるんじゃないだろうか。
サポートも何も (スコア:4, 参考になる)
コレガの無線LANは現行品がないし、最新機種の最新ファームすら2016年のリリース。
すでに無線LANは撤退していると思った方がよいかと。
Re: (スコア:0)
So-netセキュリティ通信では、コレガの他の無線LAN製品に関しても他社製品への買い替えの検討を促していますね。
コレガの無線LAN親機に「深刻な脆弱性」判明、他社製品に買い替えを
http://security-t.blog.so-net.ne.jp/2018-03-09 [so-net.ne.jp]
Re: (スコア:0)
オープンリゾルバ騒動のときも、ファームウェアアップデート無しでしたね。
Re: (スコア:0)
事業内容とかみても無線LANは取り扱ってないですね
修正できないというよりは、修正できる部門解散して人がいないので対応できないぐらいの感じってことでしょうか
そこら中で (スコア:1)
CGから始まるSSIDを見かけるからまだ使ってる人は相当居るんじゃないか
Re: (スコア:0)
ハニーポットのSSIDはCG~にすべきか
コレガ、コレガのやり方かーー!!! (スコア:1)
Re: (スコア:0)
悲しいけどこれが戦争なのよね。
アライドテレシス (スコア:1)
コレガって一応アライドテレシスの子会社というか1部門になってるわけなんだから
コレガブランドだからとサポートしないようじゃ
アライドテレシスの方にも悪いイメージが…
すっごく高いというイメージはついてるけど…
アライドテレシスって貧乏人のCiscoじゃなかったの? (スコア:0)
> すっごく高いというイメージはついてるけど
アライドって、業務用じゃ「安物」ってイメージだったけど、最近は違うの?
Re: (スコア:0)
いまは貧乏人のCiscoはHPが買収したアルバネットワークスでしょう。
すげー安いしライフタイム保証ついてるし、むしろアライドを選ぶ意味を
全然感じない。
ガートナーのマジッククワドラントでもCiscoに近い位置にいるし。
Re: (スコア:0)
https://www.allied-telesis.co.jp/products/index.html#s08 [allied-telesis.co.jp] に
> コレガブランド製品はこちら ▶
> ネットワークカメラ、無線LANルーターなどのIoT周辺機器
と書いてある。
コレガブランドの無線LANルーターに対する方針がよくわからない。
Re: (スコア:0)
うちはアライドテレシスも選択肢から外した。
クライアントぶら下げる用途には高いし、バックボーン任せるには心もとない。
TP-Linkのがまし? (スコア:1)
今はNetgearでもAsusでも選べるからな。
Appleの今のタイムカプセルは一体何年現行製品なのか。(HDD3TBは追加した。)
Re: (スコア:0)
TP-Linkはアクセスポイントで外部に通信する必要がないのに
外部に通信しに行こうとするなど、おかしい仕様が多いらしいですし
(先日のNTPOの件で検証した人のブログ)
候補から「外す」リストの筆頭ですね
サポート期間 (スコア:0)
アプライアンスのルーターもいいのだがサポート期間を明示してほしいと思うのは私だけかな?
いる (スコア:0)
こいつWindowsのネットワークに出てくるんで近くにいるんですよねぇ
最初出たときは「すわ!ハッキングか!?」とびっくらこいたけど
居るのが見えるだけでこっちのネットワークに繋がってるわけじゃない
ってのがググってようやくわかり一安
とはいえ
コレが使ってるくらいだから
今後も本人気づかないだろうし気にしないだろうし
通報できるわけでもないし
Windowsのネットワークに
受け入れていないものが出てくるのは
どうにかならんもんですかね
Re: (スコア:0)
無線LANのSSIDリストの一覧に出てくるやつとかで無ければ、それは繋がっている可能性が高い。
繋がっちゃう可能性としては、そいつが暗号化かけていなくて、知らずにおまいがそのハニーポットに接続して使っているか、
そいつがコレガのWLANルータを使っておまいのWLANルーターにブリッジ接続してネットワークを乗っ取っている。
IEEE oui.txt より (スコア:0)
検索してみました。
OEM とかで出していたこともあるんでしょうか。
$ cat oui.txt | grep -i corega | grep base\ 16
00041D (base 16) Corega of America
000A79 (base 16) corega K.K
002687 (base 16) corega K.K
$ cat oui.txt | grep -i allied\ telesis | grep base\ 16
000C25 (base 16) Allied Telesis Labs, Inc.
001577 (base 16) Allied Telesis, Inc.
ECCD6D (base 16) Allied Telesis, Inc.
001130 (base 16) Allied Telesis (Hong Kong) Ltd.
001AEB (base 16) Allied Telesis R&D Center K.K.
000DDA (base 16) ALLIED TELESIS K.K.
0000F4 (base 16) Allied Telesis, Inc.
E01AEA (base 16) Allied Telesis, Inc.
009099 (base 16) ALLIED TELESIS, K.K.
00A0D2 (base 16) ALLIED TELESIS INTERNATIONAL CORPORATION
0000CD (base 16) Allied Telesis Labs Ltd
000941 (base 16) Allied Telesis R&D Center K.K.
他社と比べて売れてないのかな、よく見るところを挙げてみると……。
よく見かけるところはこれくらいかな。
$ cat oui.txt | grep -i buffalo | grep base\ 16
000D0B (base 16) BUFFALO.INC
000740 (base 16) BUFFALO.INC
0024A5 (base 16) BUFFALO.INC
DCFB02 (base 16) BUFFALO.INC
004026 (base 16) BUFFALO.INC
7403BD (base 16) BUFFALO.INC
84AFEC (base 16) BUFFALO.INC
001D73 (base 16) BUFFALO.INC
001601 (base 16) BUFFALO.INC
106F3F (base 16) BUFFALO.INC
8857EE (base 16) BUFFALO.INC
343DC4 (base 16) BUFFALO.INC
4CE676 (base 16) BUFFALO.INC
B0C745 (base 16) BUFFALO.INC
CCE1D5 (base 16) BUFFALO.INC
$ cat oui.txt | grep -i nec\ platforms | grep base\ 16
C025A2 (base 16) NEC Platforms, Ltd.
001B8B (base 16) NEC Platforms, Ltd.
0060B9 (base 16) NEC Platforms, Ltd
98F199 (base 16) NEC Platforms, Ltd.
A41242 (base 16) NEC Platforms, Ltd.
003A9D (base 16) NEC Platforms, Ltd.
106682 (base 16) NEC Platforms, Ltd.
1CB17F (base 16) NEC Platforms, Ltd.
000D02 (base 16) NEC Platforms, Ltd.
$ cat oui.txt | grep -i i-o\ data | grep base\ 16
3476C5 (base 16) I-O DATA DEVICE, INC.
00A0B0 (base 16) I-O DATA DEVICE, INC.
$ cat oui.txt | grep -i \ elecom | grep base\ 16
BC5C4C (base 16) ELECOM CO.,LTD.
000F95 (base 16) ELECOM Co.,LTD Laneed Division
0090FE (base 16) ELECOM CO., LTD. (LANEED DIV.)
修正 (スコア:0)
以前使ってたNECのルータが確かHeartbleedかなんかに引っかかって、古かったから修正もされないって事で買い替えたような記憶があるなぁ。
Re: (スコア:0)
NECのルータが確かHeartbleedかなんかに引っかかって、古かったから修正もされないって事で
そんなことはありますん
LTEルータの修正だってしっかりされていますよ
BlueBorneやKRACKsにもちゃんと対応しました
問い合わせ当初は問題ありませんって回答してたし、、、
半年遅れでファームだしてたし、、、
ちゃんと、、、たいおう、、して、、、ますん、、、
Re:修正 (スコア:1)
新製品(MP01LN)作ってて非常に後回しにされた感はありますが、MR03LN~MR05LNまで対応してくれたのは良かった。
# MR04LNは今までauは無保証だったのが、接続確認も実施されたのもミソかも。 [aterm.jp]
Re: (スコア:0)
社歴の長い一流メーカーと新興IT企業の違いはそこだよね。
シャープとか東芝とか破綻した企業ですらリコール掛かったら10年以上前の製品でも無償修理するし、
場合によっては定価買取までやるのにコレガときたら脆弱性情報すらアナウンスしてないという・・・
Re: (スコア:0)
>社歴の長い一流メーカーと新興IT企業の違いはそこだよね。
そうか?
俺には”価格相応”なサービスにしか思えんぞ。
Re: (スコア:0)
言うほど安くもないし、そもそも人材いないから高い価格でも対応できないでしょ。
今回の件だって「対応しない」んじゃなくて「分かる人は全員退職してるから対応できない」ってオチじゃんw
Re: (スコア:0)
なおさら社歴の問題じゃないじゃん。
Re: (スコア:0)
> リコール掛かったら10年以上前の製品でも無償修理するし
お、そうなんか。今まで見向きもしてなかったけどスマホはシャープせいにするべきやったか...
PCも東芝のにしてれば、古いPCでもMeltdow、Spectre対応してくれるんか。
Re: (スコア:0)
リコール掛かったら10年以上前の製品でも無償修理する
そこまでするからこそ「リコール」でしょ。
Re: (スコア:0)
壊れないもんだからWR7600を今でも使ってる。
使用不能で壊れない限りあんまり買い替えに対する動機にならないよね。