バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 61
ストーリー by nagazou
現役と思われる機種も多いので確認を 部門より
現役と思われる機種も多いので確認を 部門より
あるAnonymous Coward 曰く、
バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。
JPCERTによると
CVE-2021-3511:第三者により、当該機器の設定情報等を窃取される
CVE-2021-3512:第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される
CVE-2021-20716:第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性
といった、深刻な内容ばかりのようだ。
基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく
使用を停止し、代替商品への買い替えを促している。
JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題
風評 (スコア:2)
今回のバッファローのはJPCERT&IPAがサポート中のものとサポート終了のものに整理して発表しているから、まだましだな。
別件だけどマスコミが目をつけるとこんな感じに [twitter.com]
それでメーカーも火消しでプレスリリース出してる【SKYSEA Client View情報】サイバー攻撃に関する一部報道について [skygroup.jp]
まあ、マスコミはセンセーショナルな部分のみ報道してくれちゃうから信用はおちるな
状況が分からない (スコア:1)
リンク先を色々見たけどリモート接続で乗っ取れるのか、ローカル接続のみなのかの条件すら記載されていない。
当該製品にアクセス可能な状態ってリモートで乗っ取り可能なの?
対応としては今すぐファームウェアアップデートなんだろけど、リモートで出来ない人がどの程度の危機感を持って対応すべきか分からんね
対応ファームウェアが無い人は今すぐWAN回線を抜いて買った方が良いレベルなの?
Re: (スコア:0)
発見者は 00One, Inc. さんのようですが、そちらでも「リモート接続で乗っ取れるのか」についてなどの詳細は見つけられませんでした。ホント、「リモート接続で乗っ取れるのか?」どうか知りたいです。
Re: (スコア:0)
@00one_jpさんがTwitterで
https://twitter.com/Karma_001jp/status/1387189692328673282 [twitter.com]
「サポートが終了した製品の一件目であるBHR-4RVについては、Karmaでは2,190件観測しています。」
と投稿しているので、リモート(WAN)側からのアクセスでも、この脆弱性の影響を受けるのかも。
Re: (スコア:0)
LAN側から特殊なユーザ名とユーザが設定したパスワード+αでデバッグ機能が使えるのはあったけど、
(機種チェックなしにファームウェアを焼けるので、DD-WRTを導入するのにつかわれたりもする)
それのことなのか、それがWAN側から使えたのか、さっぱりわからない…
ドキュメント化されてないデバッグ機能の有効化とかtelnetの有効化とか (スコア:1)
そういう機能を載せて出荷しちゃいけないような気がしなくもないです。外すのも難しいかとは思いますが…。
ちどりの「ち」きっての「き」…
Re: (スコア:0)
元のSDKとかテンプレに載ってたんじゃないかなぁ。
他社は大丈夫なんだろうか?
# 某社のルータで隠しURLからコマンド入力とか色々可能だけど、便利に使ってるのでAC
あーれれー?おかしいぞー (スコア:0)
BUFFALOは数が出て市場で揉まれてるから安心安全なはずじゃなかったの?
Re:あーれれー?おかしいぞー (スコア:1)
そんなこと言ったら人類なんて70億人以上出荷されてるのに、ポンコツばっかり
偏差値50以下の人が35億人も居るんですよ
Re: (スコア:0)
平均以下の人間が半分もいるということか...
Re: (スコア:0)
これが正しいと思った人は統計に騙されています。
# 対象の数が十分大きいのでおそらくは正しいのではないかなと推測はできますけど。
Re: (スコア:0)
君のジョークセンスは平均以下ですね。
Re: (スコア:0)
平均でいーか、と思ったら平均より下だったでござるの巻
Re: (スコア:0)
以下なんだから平均丁度もあり得るよ
Re: (スコア:0)
平均から人数は読み取れませんよ
せめて中央値
Re: (スコア:0)
ほとんどが平均以下になるパターンもありますよw
https://ja.wikipedia.org/wiki/%E7%A7%81%E3%80%81%E8%83%BD%E5%8A%9B%E3%... [wikipedia.org]!
所得とか年収とか言われるほうなどは一部の長者が平均を引き上げているので、中央値のほうが実態に近いといわれる話ですね。
Re: (スコア:0)
ジョークなんだろうけど、これ本当かなぁ?
Re: (スコア:0)
バーロー
Re: (スコア:0)
駄メルコの印象が染み付いているオッサン世代は、安心安全なんて思ってない。
Re: (スコア:0)
素直にメルコダウンすれば侵入されずに済むのに中途半端に安定して動くと侵入され放題。
Re: (スコア:0)
Re: (スコア:0)
kwsk
Re:あーれれー?おかしいぞー (スコア:2)
関連リンク「NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される」のコメントの流れかと
https://srad.jp/comment/4011918 [srad.jp]
Re: (スコア:0)
BUFFALOが安心安全とか初耳だが。。
初心者やライトユーザーしか買わないから揉まれるもなにもない。
Re: (スコア:0)
バッキャローって言われてたことも
滅入ルコとも言われたような
(*´ω`*)
Re:あーれれー?おかしいぞー (スコア:2)
バッキャローって言われてたことも
滅入ルコとも言われたような
ウンコレガとクソフトバンクが仲間になりたそうに こちらをみている
死して屍 拾う者なし
Re: (スコア:0)
少なくとも
7年サポートすると言って
まだ7年経っていない2015年の機種のサポートを切ったNECよりはマシかと
うちの発売して9年経つWZR-600DHPが
今回のアップデート対象だったけどしっかり修正されたぞ
Re: (スコア:0)
12年モノが対象になっていたのでもう少しだけ信用してもいいかなと思ってる
Re: (スコア:0)
12年もノーガードで使って、なにをどう信用せーと?
Re: (スコア:0)
見つからなきゃどうしようもないわ。
10年以上のバグなんて時々あるし。
https://security.srad.jp/story/21/01/30/0012214/ [security.srad.jp]
https://developers.srad.jp/story/08/05/09/2114204/ [developers.srad.jp]
Re: (スコア:0)
アップデートされない機種は15年前のやつとかやぞ
Re:あーれれー?おかしいぞー (スコア:1)
そもそもこんな低性能のまだ使っているの?って奴しか見捨てられていないっぽいですね。
ちょっと前に使っていた事がある、WZR-HP-G300NHってbgn対応機種があるのですが、まさか約5年経て新ファームが出るとは思わなかったですよ。
自宅で使っているNECの無線RTの方がサポート切られているくさいっていう……INSの頃からAtermは信頼していたのになぁ。
#NECの先代で使っていた、Cisco(Linksys)のWRT-54G系列は頑張ってくれたなぁ。
Re: (スコア:0)
残念だ、これを理由にルータを買い換えられるかと思ったのだが。
Re:あーれれー?おかしいぞー (スコア:1)
802.11g迄しか対応していない機材は電波帯域の無駄なのでこの機会に見切ってもいいと思う
Re: (スコア:0)
実家のルータが802.11n世代の最大300Mbpsで、今回の対応範囲に入っちゃってるんですよね。
そろそろ買い換えたいな、と思いつつも、使うのは月に一回自分が帰省するときだけで他の家族は使わないし、
実家にファイルサーバを置いているけどはRaspberry Pi 2なんで最大100Mbpsだし、
ネット回線は10Mbps契約だし(でもなぜか20Mbpsくらい出る)、で、買い替えの踏ん切りがつかない状況なんです。。
Re: (スコア:0)
消費電力的にも最近のに置き換えるべきでは?
ラズパイとルーターあわせて8千~1万円じゃん
Re: (スコア:0)
息の長い製品もあるし,販売終了からの経過時間で見たいな。
# まぁ,NEC とか Corega に比べれば…
Re: (スコア:0)
誰からそんなこと聞いたことがあるんだ?
そんなBuffalo評は初めて聞いたが
中華メーカーだったら (スコア:0)
このデバッグ機能残したままという脆弱性は
バックドアだともっと騒がれてそう
そろそろ法改正が必要なんじゃないかな (スコア:0)
ルーターもスマホと同様に
サポート切れの脆弱性放置が当たり前になってきたし
スマホも含め法で取り締まるようにしたほうが良いのではないかと感じます
・回収義務
これが消費者的にベストですが企業が耐えられないでしょうね
もしくは
・ソース公開および引き継ぎ先明示の義務
サポート終了にはソース公開または譲渡を義務付け周知を徹底させる
※無線対応機には留意が必要
※技適の緩和
利用周波数に変更がない場合は再申請不要とする
# 無線の*.soとSupplicantあたりのハッシュが合致すればおkとか
Re:そろそろ法改正が必要なんじゃないかな (スコア:1)
法律で制定するなら、
まだ初回製造年からの耐用年数を設定してそれを超過した場合使用しているユーザーの責任とした方が現実的かと
Re:そろそろ法改正が必要なんじゃないかな (スコア:1)
初回製造年なんかユーザーには分からんから最終出荷日ベースで
Re: (スコア:0)
> まだ初回製造年からの耐用年数を設定してそれを超過した場合使用しているユーザーの責任とした方が現実的
同意見です。自動車の車検と同じですね。何かを所有するなら、相応の責任を持てってことです。
買い換えろ (スコア:0)
以外の感想がうかばん。
Re: (スコア:0)
国内で作るところが無くなりそう
有線ルーター (スコア:0)
一部ルーター商品における複数の脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-01.html [buffalo.jp]
ルーター等の一部商品におけるデバッグオプションの脆弱性とその対処方法
https://www.buffalo.jp/news/detail/20210427-02.html [buffalo.jp]
WSR-2533DHP3/WSR-2533DHPL2 における複数の脆弱性とその対策方法
https://www.buffalo.jp/news/detail/20210427-03.html [buffalo.jp]
修正ファームウェアが公開されないBHR-4RVが2004年7月発売( https://bb.watch.impress.co.jp/cda/news/5605.html [impress.co.jp] )、
その次の修正ファームウェアが公開されたBHR-4GRVが2011年8月発売( https://internet.watch.impress.co.jp/docs/news/460391.html [impress.co.jp] )、
その次の現行商品であるBHR-4GRV2は2014年6月発売( https://cloud.watch.impress.co.jp/docs/news/650661.html [impress.co.jp] )。
ちなみにBBR-4HGとBBR-4MGは2003年10月発売で現行商品と息が長い。
https://bb.watch.impress.co.jp/cda/news/2720.html [impress.co.jp]
Re: (スコア:0)
ちなみにBBR-4HGとBBR-4MGは2003年10月発売で現行商品と息が長い。
すみません、BBR-4HG/MGは対象となる機器のリストに記載がないので、今回の脆弱性とは関係ないですよね?
(どこかに記載されているのかな)
Re: (スコア:0)
今のところ掲載されていないので、今回の脆弱性はないと思います。
対象であると判明すれば、現行商品なので次のページに追記されると思います。
https://www.buffalo.jp/news/detail/20210427-01.html [buffalo.jp]
古すぎて対象外 (スコア:0)
リストに記載なし!
慌てて調べる (スコア:0)
WHR-600Dだった
大丈夫ぽい