パスワードを忘れた? アカウント作成
15331272 story
ストレージ

Western Digital の古い NAS、リモートから攻撃を受けて初期化される 40

ストーリー by headless
古漬 部門より
Western Digital の古い NAS、WD My Book Live および WD My Book Live Duo が未修正の脆弱性(CVE-2018-18472)を突かれ、リモートからファクトリーリセットを実行されてデータがすべて消えたとの報告が複数出ている(セキュリティアドバイザリー WDC-21008BleepingComputer の記事Ars Technica の記事The Register の記事)。

両製品は2010年~2012年に発売され、2014年に販売終了しており、最後にファームウェアが更新されたのは2015年のことだという。CVE-2018-18472はリモートから root としてコマンドを実行可能な脆弱性で、2018年に報告され、PoC も公開されている。しかし、Western Digital は報告者に対し、ファイアーウォールでリモートからのアクセスを防ぎ、ローカルネットワーク内の信頼されたデバイスのみがアクセスできるようにするなどの対策を提示するにとどまった。

今回 Western Digital では問題を調査していると述べる一方、現時点ではインターネットから両製品を切り離すことを推奨している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by LARTH (14573) on 2021年06月27日 3時43分 (#4058629) 日記

    リモートから root としてコマンドを実行可能ってのを放置ってのは駄目だろう。
    最低限リモートからのコマンドを全拒否可能な設定は担保されるべき。

  • 今回は自分のデータが死んだだけで周りに迷惑を掛けてないが、いずれボットネットに参加したり、ネットワーク内への侵攻の橋頭堡になる可能性もある。
    あらゆる機器は、今は攻撃を受けてなくてもいつやられるかは分からない。
    従って常にファームウェアを更新し続けるしかないし、もし更新できなくなったらインターネットに繋がないようにするしかない。

    当然で今更だけど、保守が切れてファームウェアが更新されないようになった機器をインターネットに繋ぐのは危険なんだよ。
    かといって、メーカーに未来永劫サポートしろというのも土台無理な話なので、結局は適切に使わないのが悪いという結論になる。
    壊れていないのに使わないのはもったいないとか、そんなの使うのは人の勝手だろとか、理解できない人が多いかもしれないが。
    公式対策のファイアウォールで防御しろというのも分かる人ができるだけで、ただのNASなのでそういう対策ができない人も多いだろう。
    繋がない方法は物理的かファイアウォールでブロックするかは好きにしたらいいが、いずれにしても警鐘は鳴らすべきと思う。

    • 設計寿命とか物理的な寿命に対して保証期間とか販売期間、製品サイクルが速すぎるんですよね。銀行のメインフレームみたいなシステムならあり得ない問題なんでしょうけど、値段もあり得なくなってしまうわけで……

      親コメント
    • 参考までに、近年改正された電気通信事業法のIoT機器のセキュリティ基準に係る技術基準適合認定ではファームウェア更新できることが技適マークの取得要件に加わってますね

      https://www.soumu.go.jp/main_content/000615696.pdf [soumu.go.jp]

      親コメント
      • by Anonymous Coward

        機能として存在していることと、その機能による更新が提供され続けることは別なんですよね・・

        しかもファームウェア内にはほとんどの場合、プロプライエタリなデバイスドライバが入っているため、
        それゆえに脆弱性を修正できないか、そのデバイスドライバ自身に脆弱性があったりもするわけで・・

        場合によっちゃTiVo化 [wikipedia.org]されてたりも・・

      • by Anonymous Coward

        重大な脆弱性があれば、メーカーがファームウェア更新を提供する最低期間が定められてない以上、
        ザル基準だな

      • by Anonymous Coward

        できるでは意味がないしなければならないにしないと。

    • いいですね
      国内キャリアモデルのAndroidスマホは軒並み使用不可
      中古市場も国内キャリアモデルのAndroidスマホは一掃
      近年ではゲーム機やスマートウォッチも対象ですね

      リコール回収かソース公開でメンテン募集の義務付けを選択
      技適とも整合性をとってもらう必要はありますが
      法で規制したら阿鼻叫喚の面白展開になりそうです

      親コメント
      • by Anonymous Coward

        それ、単独でキャリア回線につながるようなスマホやタブレットだけが問題だろ
        当初の保守期間を超えたらSIMスロットを殺すようにすればいいだけだし、ソース公開でメンテナー募集なんて不確実なことをやる必要もない
        あそこの製品は寿命が短いという悪評が立つのを恐れるメーカーは長くサポートすればいいんだよ
        (現時点で市場に既に出回った保守切れの製品の回収をどうするかという問題はあるが)
        ゲーム機やスマートウォッチは単独でインターネットに繋がずにブロードバンドルーター経由にするよう啓蒙しとけ

        • 日本だけで法規制かけても、アメリカやEUや中国が付いてこなければ実効性は薄いですね。
          海外モデルやそれを転売する業者が跋扈するだけかと。
          正直に(おそらくは割高な)国内モデルを買う人が馬鹿を見る結果になりそう。

          親コメント
          • by Anonymous Coward

            国内で販売される機器に掛ければ、実効性はそこそこあるのでは?
            言うほど直輸入する人が多いとも思えないが。

            • by Anonymous Coward

              確かなことを言えるデータは持ち合わせていませんが、海外版と比べて国内版はモデルが極度に少ない・価格が高いとなれば、今より輸入するニーズは増えますよね。儲かるとなれば業者も参入するし。

              大昔のガラケー時代の様に、認定したモデルしかネットワークに繋がせないパワープレイに走れば実効性は確保できるかも。非関税障壁でぶっ叩かれそうな気がしますが。

    • by Anonymous Coward

      インターネットに接続する機器の脆弱性の修正をメーカーに義務付けるべき

      • by Anonymous Coward

        はい、もちろん弊社側では修正済ですが、パッチを受け取るために有償サポートを契約して頂く必要があります。
        費用ですか?1回のパッチで3万円ぐらいです
        高い?15年前の家庭用ルーターですから、サポートするにはこれぐらいが妥当なんですよね…買い替えたほうがお客様も楽だとは思うのですが、なぜか昔の機器を使いたがるお客様もおられるのがわからないところで…

        • by Anonymous Coward

          この手の人々はそんな回答をすると自分でメンテするから全ソース提供しろって言いだすので
          プロプラ部分の提供には信用調査後NDA・取引基本契約・ライセンス契約を結ぶ必用があります、信用調査に関わる費用など必要経費はお客様負担かつ事前支払いとなっております。なお、再提供が禁止されている物については含まれませんので予めご了承ください。
          も追加しないと

    • by Anonymous Coward

      保守期間がおわったら、
      ・グローバルアドレスの通信はおなじサブネットのみ(サブネット不明な場合は/24)に限定
      こんなのでいいのに

      • by Anonymous Coward

        そして、キャリアグレードIPv6 over IPv4が流行るという。

    • by Anonymous Coward

      未来永劫は無理としても製造打ち切り後7年は「欠陥の修正」を義務付けるべきだな。

      あらゆる電化製品の中で、ソフトウェアだけは製造開始から2~3年程度でメンテナンス放棄がまかり通ってる方がおかしい。

    • by Anonymous Coward

      装置寿命が来るまで保守することを義務付ける前提ならいいと思うけどね。そうじゃなければメーカーが腐敗するだけだな。

  • by Anonymous Coward on 2021年06月26日 20時37分 (#4058538)

    NASってローカルアドレスで運用するもんだろ?
    っとおもったけど、中小企業じゃ取引先とのデータ送受信・共有につかわれてる模様

    • by Anonymous Coward on 2021年06月26日 20時40分 (#4058540)

      Web共有有効化したら、UPnPとかで穴開けちゃうNASも有るからなぁ。

      親コメント
    • by Anonymous Coward on 2021年06月27日 1時43分 (#4058616)

      今回のは、NATの内側でローカルで使ってる状況で発生する問題ですよ。
      WDのNASシリーズは、WDのサーバーにNASがつなぎにいって、オンラインでのバックアップやファームウェア更新というのがサービスでついてくるもの。
      利用者は一般公開してもないし、するつもりもない状態で発生します。
      対策も、NASが、WDのサーバーへの接続しにいくのを拒絶する。付帯サービスを利用しないようにするってものです。

      親コメント
    • by Anonymous Coward

      ある仕組みでやるべきことと出来ることには大抵の場合相当の乖離がある。

    • by Anonymous Coward

      NASってローカルアドレスで運用するもんだろ?
      っとおもったけど、中小企業じゃ取引先とのデータ送受信・共有につかわれてる模様

      あとは
      初期のIPv6ルーターでIPv6ファイヤーウォールなしとか
      UPnPのありがた迷惑機能で
      知らぬ間にWeb直通公開しちゃってるやつとか

      • by Anonymous Coward

        >初期のIPv6ルーターでIPv6ファイヤーウォールなし
        あったあった。メーカーに問い合わせたら「無いのが当たり前ですけど何か?」みたいな態度でビックリ

        • ファイアウォールではなくルータなんだからないのは理解できる。

          • by Anonymous Coward

            IPv6の思想が、NAPTで双方向End-To-End通信ができなくなったIPv4は邪悪、IPv6で双方向End-to-End通信を取り戻せ、だからね。
            時代の変化についていけてない。

    • by Anonymous Coward

      ひどい浅慮と無知...ローカルアドレスなら安全だろうって考えはもう危険ですよ。あと個人用NASアプライアンスは大抵UPnPでインターネットからアクセスできる機能があります。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...