パスワードを忘れた? アカウント作成
15256301 story
インターネット

NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 73

ストーリー by nagazou
脆弱性 部門より
IPA(独立行政法人情報処理推進機構)とJPCERT/CCは9日、NEC製無線LANルータ「Aterm」の一部機種に複数の脆弱性があるとする報告を行った。情報の詳細は脆弱性情報サイト「JVN」にて公開されている(JVNJVNその2ケータイ Watchマイナビニュース)。

報告されている脆弱性は、任意のスクリプトが実効可能となるクロスサイトスクリプティング(CVE-2021-20680)とUPnPが有効となっていると第三者から任意のOSコマンドが実行となるOSコマンドインジェクション(CVE-2014-8361)の二つ。JVNに記載されている影響を受ける機種とファームウェアの対応状況はケータイ Watchの記事に詳しい。すでに対策のためのファームウェアが提供されているものも多いが、提供予定なしとする機種も多いので各自確認することをお勧めしたい。
  • by Anonymous Coward on 2021年04月12日 18時24分 (#4011710)

    マイナーチェンジモデルなのに、ご先祖が問題無しになっているのが不思議だなと思ったが、
    大丈夫なのはQualcommで引っかかったのが蟹さんなのか。中身別物なのね。

    〇WG1800HP
    〇WG1800HP2
    ×WG1800HP3
    ×WG1800HP4

    〇WG1200HP
    ×WG1200HP2
    ×WG1200HP3

    ここに返信
  • by Anonymous Coward on 2021年04月12日 18時48分 (#4011727)

    二昔前まではNECのルーターは
    一般市場での鉄板扱いだったけれど
    一昔前ほどからはスマホ並みの穴放置
    とてもじゃないが候補に上げることできない

    まぁ昔はIPv4のみだったし
    UPnPもデフォルト無効だったし
    今ほど穴を突き安くはなかったってのもあるが

    現状でセキュリティを考慮して選ぶなら一般市場向けは
    DD-WRTやOpenWrt系で自前アップデート可能な機種が多いとこ選ぶ
    ってかんじでしょうか

    DD-WRT
    https://dd-wrt.com/support/router-database/ [dd-wrt.com]

    OpenWrt
    https://openwrt.org/toh/start [openwrt.org]

    嫌ならスマホと同じく発売2年程度で買い替えですかね

    # まぁ本当の一般人はプロバイダ支給のルーターしか使わないんだけれど

    ここに返信
    • Re:昔は良かった (スコア:3, 参考になる)

      by Anonymous Coward on 2021年04月12日 19時01分 (#4011741)

      WiFiルータに社外ファーム入れると技適外れるので要注意です。
      # 無線OFFにすれば使えるかな
      ## レーダー関係が特に げふんげふん

      • by Anonymous Coward

        WiFiルータに社外ファーム入れると技適外れるので要注意です。

        月次で恐縮ですが技適外れるソースも添えていただけると幸いです

        例えばAndroidのROM入れ替えが技適に抵触しない理由として
        周波数や出力が許容外へ変更されないから
        ということが根拠だったかと思われます

        仰る点からすると
        DD-WRTやOpenWrt対応のルーターファームウェアでは
        周波数や出力が許容外へ変更される可能性がある
        ということが根拠になるのでしょうか?

        DD-WRTやOpenWrt対応のルーターで入れ替えられるファームウェアとは
        実質Linux部分ですのでAndroid同様に
        独自チップのクローズドソース部分は弄れませんし
        周波数や出力が許容外へ変更されることはないように思われます

        • Re:昔は良かった (スコア:3, 参考になる)

          by Anonymous Coward on 2021年04月12日 21時17分 (#4011839)

          > 例えばAndroidのROM入れ替えが技適に抵触しない理由として
          > 周波数や出力が許容外へ変更されないから
          > ということが根拠だったかと思われます

          いや、AndroidのROM入れ替えもアウトですよ。

          > DD-WRTやOpenWrt対応のルーターで入れ替えられるファームウェアとは
          > 実質Linux部分ですのでAndroid同様に
          > 独自チップのクローズドソース部分は弄れませんし
          > 周波数や出力が許容外へ変更されることはないように思われます

          周波数や出力は独自チップのクローズドソース部分以外でも色々弄れてしまいます。
          例えばTP-LINKのArcher C7はWeb管理画面で日本以外の地域を誤って選択してしまうと日本の電波法上で認められていない周波数帯域を使用してしまう [impress.co.jp]ことが発覚して総務省から怒られてます [soumu.go.jp]。
          ROM入れ替えはこうしたリージョン固定を回避できてしまうことからもアウトです。

        • by Anonymous Coward on 2021年04月12日 20時32分 (#4011812)

          >周波数や出力が許容外へ変更されないかということが根拠
          そんな根拠ないですよ
          社外ファームへの変更はユーザーによる勝手な改造です
          技適は規定のファームで取得しているのですから
          自動的に技適外れます
          メーカーだってそんなことまでは保証していないはずです
          >周波数や出力が許容外へ変更される可能性がある
          これ、関係ありません
          ま、厳密に言うとですけどね。

        • by Anonymous Coward on 2021年04月12日 20時50分 (#4011818)

          改造したら技適外れます。
          特殊ネジで容易に開けられないようになっているのはそういうことです。
          ファームも然り。
          要は、メーカーからして「知らんがな」になった改造品なら、それは同時に
          技適外れてます。

          周波数、出力が変わらなければ外からみてバレない、それだけのことです。

        • by Anonymous Coward on 2021年04月13日 12時42分 (#4012174)

          親機と子機では要件が違うのでそこ注意。
          子機は担保される設計ならOSレス(SWレス)でも認証は取れますし維持できますが、
          親機はそうはいかないです。

        • by Anonymous Coward

          Linuxではwpa_supplicant.confで周波数にかかわる国コードを設定するのが普通だと思いますが。

        • by Anonymous Coward

          技適が「外れる」、というのは、技適取得した状態から機器の状態が「外れる」、
          のと同値なので、改造で外れるのは、自明です。
          # 新バージョンごとにメーカが取り直してはいない?だろうけど
          # そこはまあ保証者の主体だから

        • by Anonymous Coward

          >例えばAndroidのROM入れ替えが技適に抵触しない

          こっちが初耳だった。どちらでそのような主張が為されてるのでしょうか?

          ROM入れ替えの時点で技適外れるからおおっぴらにできないよね、
          って感じでROM改造文化が廃れていった流れを見てきたので。

      • by Anonymous Coward

        本当?
        メーカーってルーターのOSにパッチ当てるたびに技適取り直してるの?
        ファームウェアの解釈が違うような。Linuxでいう個別ファーム、チップにダウンロードするバイナリが同じで、アンテナなどのハードウェアも変更してないなら技適要件は失われてない、という公式解釈があったように思いますが。
        PDC携帯のころは蓋開けるだけで違法とか言われてましたが、今はそうではないはずです。

        まあ、今時のWifiのスピードに対してあまり処理が速くないのでメーカー品を買い替えた方がいいとは思うけどね。
        まあウチはRPiに入れたOpenWRTでスマホをUSBテザリングして外とつながっているので使っていますが。

        • by Anonymous Coward on 2021年04月13日 12時33分 (#4012156)

          > メーカーってルーターのOSにパッチ当てるたびに技適取り直してるの?

          ソフトウェアをアップデートする際は、電波の特性を変更しないか検証が必要ということになっています(総務省PDF [soumu.go.jp])。
          認証取扱事業者が検証したという事実が重要で、結果として技適を取り直す必要がないこともありますし、取り直すこともあります。
          利用者が勝手にOSを変えると検証プロセスをすっ飛ばすことになりますし、利用者が検証したと言い張っても当然信用できませんよね。

        • by Anonymous Coward on 2021年04月13日 12時35分 (#4012158)

          ちなみに技適のうえではソフトウェア/ファームウェア/ハードウェアといった区別はない(区別してしまうとソフトウェア無線<SDR>で面倒なことになる)ので、ファームウェアの解釈がどうであれ、とにかく全体として何か変更したのなら電波の特性の変更がないことを確認しろということですね。

        • by Anonymous Coward

          総務省がそこらへんを明確にしていないという点でも、技適は叩かれるんですよね。

          法律を厳密に解釈すれば、ハードウェア構成やファームウェアはおろか、一般ユーザが操作可能な設定ですらも
          技適の証明/認定範囲に入るわけで、実際に業務用の機器などでは「この設定で技適取ったから、必ずこれを使え」
          というメーカー指示があったりします。

          とはいっても、キャリア提供のアカウント(証明書やパスワード)情報や現地の環境に合わせたアナログなパラメータなど、
          各環境で設定を変えなければ動きようがない(使い物にならない)ものも多く、「これを変更して良いのか」と聞いたところで、
          メーカーもキャリアも、総務省自身でさえも「わからない」という回答をしていたりもします
          (厳密にはメーカーは「キャリアに聞け」と、キャリアは「総務省に聞け」と、総務省は「メーカーに聞け」と回答していました)。

          もっとも総務省自身が「訪問外国人だからセーフ」などと俺ルール全開で運用している状態で、
          もはやルールとしての体をなしていない状態でもありますが・・

        • by Anonymous Coward

          PDC携帯のころは蓋開けるだけで違法とか言われてましたが、今はそうではないはずです。

          認定修理業者などの認可を受けた者以外が蓋開けたら違法なのは今でも変わりませんが。

          ついでにききますが、公式解釈の「公式」って誰のことですか? 総務省の担当部署以外の見解はただのオレオレ解釈ですよ。

          • by Anonymous Coward

            いや、別コメにも書いたけど、RPiなんてOSが入ってなくても技適通ってることになって売ってますよ。

            • by Anonymous Coward

              無線部固定なだけだろ。
              基板上にあってもW-SIMみたいな独立した通信モジュール扱い。

        • by Anonymous Coward

          具体的な要素をすべて網羅しているわけではないが、技適マークを付けることは認証取扱業者の責任で行うことになる。
          また変更内容が認証の構成要素にかかわらないものかどうか、また認証を維持するのかどうかは認証取扱業者は自己の責任で判断する。
          (例えば部品の変更、F/Wの変更)
          もちろん、内容によっては認証業者や国とも連携をすることもある。

          で、メーカーは更新F/Wが認証に影響しないことを確認したうえで提供する。
          ごく当たり前のこと。

          ユーザーが個人でパッチや更新ドライバを適用する場合にその判断はできないはず。

    • 2年、3年程度で買い換えたらいいんじゃないかなと思います。
      後生大事に使うような作りでも値段でもないでしょ。

      ちなみにWX6000HP使ってますけど、よく働いてくれてますよ。いい選択でした。ちょっとした不満と言えばプライマリ/セカンダリSSIDで設定を全く別にできないことぐらいかな。ネットワークプロセッサの制約なんだろうと思ってます。

      • by Anonymous Coward on 2021年04月12日 22時48分 (#4011872)

        >ちょっとした不満

        近年のNECの家庭用ルーターは、カタログスペックに出ないところの仕様がことごとく不便。
        他社競合クラス機種で当たり前に設定できるところができなくてビックリする。
        来客のインターネット接続用に『ネットワーク分離機能』を使おうとしてハマった。

    • by Anonymous Coward on 2021年04月12日 23時21分 (#4011886)

      # まぁ本当の一般人はプロバイダ支給のルーターしか使わないんだけれど

      Nuroはプロバイダ支給のルーターを切れないから、Nuro使ってる人はみんな一般人ですね

    • by Anonymous Coward

      放置?
      ちゃんと常識的な範囲で対応してるように見えるけど。
      それともどんなに古い機種でも無限に無償で対応せよと、そういう主張なんだろうか。

    • by Anonymous Coward

      二昔前がどれほど前か知らんけど、NEC(アクセステクニカ)の家庭用ルーターはファームがクソなんて話は15年前にはよく聞いてた気がするが

      • by Anonymous Coward

        実際安物のbuffalo格安ルータのほうがよほど安定しててすぐに買い換えた。
        結局のところ、数多く売ってフィードバックを多く得て開発してるほうが高品質になる。

        • by Anonymous Coward

          壊れやすい(個人の感想です)のも回転率を上げて、問題をフィードバックしやすくする品質管理手法かな

    • by Anonymous Coward
      昔から電波も飛ばないしセキュリティも別に・・・
      ただ、フリーズすることが少なかったというだけ
    • by Anonymous Coward

      モバイルルーターが売れ始めた時期からダメになった感じ
      そりゃキャリアが買い上げてくれるから出荷数は多かっただろうけど、それまでの家庭用WiFiルーターから人材を移動し過ぎた感じ

      モバイルルーターだと機能面より、更なる小型化やバッテリーの持ちの方が重要になるからルーター部分や設定画面開発なんて力が入らないよね
      モバイルルーターを開発してた事でアンテナの小型高性能化は出来て据え置き型にも反映したけど、据え置き型はアンテナがニョキニョキしてた方が
      偉そうなんだよね。
      しかもアンテナがたくさんあった方が高性能っぽくみえるからNECはマーケティングで失敗していると思う。

    • by Anonymous Coward

      8750/9500の頃は、年単位で働くルーターがほぼこれしかなかったもんな。
      いまでも Qualcommチップを使った製品なら悪くないが、「NECなら大丈夫」という状態からは程遠いな。

  • by Anonymous Coward on 2021年04月12日 19時00分 (#4011739)

    提供済    Aterm W1200EX-MS(2016/6 発売)
    提供予定なし Aterm WG1200HS(2015/5 発売)

    なので、ここ 5 年程度の製品は対応されたようですね
    ちなみに 2019 年以降発売の機種は該当無しのよう(我が家の WG2600HS はセーフ)
    ただ、今回リストになくとも別件の JVN#29739718 [jvn.jp] で更新が来ている場合があるので、Aterm 使いはこのリストになくともファームの更新を!

    ここに返信
    • Re:2016年が境目 (スコア:3, 参考になる)

      by Anonymous Coward on 2021年04月12日 19時22分 (#4011758)

      詳しく確認してなかったけど
      2015年のものでも対応してくれないのか・・・
      以前、7年はサポートやりますよと言ってたのに
      https://security.srad.jp/story/18/04/02/0517229/ [security.srad.jp]

      • by Anonymous Coward

        そのトピを探していた。
        有言不実行やないかエヌイ〜シィ〜とルーターぶん投げに行きたい。
        BやNの品質がアレだと一般家庭にオススメできる選択肢がなくなる。だからといってTPlinkは愚の骨頂だしAsusは外部アンテナ立ちまくって見栄えがよろしくない。

        • by Anonymous Coward

          無線LANルータはプロバイダー提供のモデム内蔵を使えってことなんじゃないかな。
          脆弱性が大きな問題になったら、ソフトのアップデートなりWiFi内蔵したモデムを新しい機種に交換してくれるんじゃないかなあ。

    • by Anonymous Coward

      サポートは発売から5年ぐらいしか面倒見んぞと宣告してるようなものか。
      一般家庭はルーターのセキュリティとかは知らないだろうし、速度的に困ってなければ買い替えてないとか普通にありそう。
      IPv6(IPoE)はルーター交換必須だけどフレッツ網でなければPPPoEで間に合う(交換する口実を作れない)ので、思っている以上に古いルーターのままというの多いんじゃないのかしら。

    • by Anonymous Coward

      発売から5年だと終売間際に買った人なんかは5年もないわけで、買う際には発売年を気にしないと駄目ってことか

    • by Anonymous Coward

      > 我が家の WG2600HS はセーフ

      > 今回リストになくとも別件の JVN#29739718 で更新が来ている場合がある

      WG2600HSはその別件の方に該当してますね。
      ファーム出てるから更新しましょう。

      (うちのWG2600HS2はセーフらしい。少なくとも今のところは情報がない)

  • by Anonymous Coward on 2021年04月12日 23時49分 (#4011901)

    AtermってSIPも兼ねた貸与品で「一番外側」で使わざるを得ないことも少なくない気がするんだけど、
    そういうのはアップデートしてくれるのかなー

    ここに返信
  • by Anonymous Coward on 2021年04月13日 11時11分 (#4012093)

    Atermってオフラインでのファームウェアアップデートができないようになってしまったので使いにくい。
    以前は無線LANはAterm一択だったけど今では仕方なしにBuffalo使ってる。

    ここに返信
    • by Anonymous Coward

      Buffaloもヘビーデューティー仕様の奴が無くなったのが。
      防水ケース付きとか外部アンテナ対応とか。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...