エドワード・スノーデン (Edward Snowden) 総合スレ

名無しさん＠お腹いっぱい。

NURO光機器に管理者アカウントが特定される脆弱性発見も、運営会社「修正の予定無し」
https://hayabusa9.5ch.net/test/read.cgi/news/1606625434/

1 クロイツラス(埼玉県) [US] 2020/11/29(日) 13:50:34.47 ID:BONjk1jY0 BE:609257736-2BP(5000)

ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。
研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワークの終端に設置する光回線終端装置(ONU)に関するもの。
NURO光のONUにはいくつか種類がありますが、脆弱性が報告されているのはHuawei製の「HG8045Q」となっています。
Orsholits氏は自身のHG8045Qをリバースエンジニアリングした結果、HG8045Qの「ウェブ管理画面」に存在する特殊なアカウントを発見したとのこと。

https://gigazine.net/news/20201128-nuro-onu-vulnerablity/