Western Digital の古い NAS、リモートから攻撃を受けて初期化される 40
ストーリー by headless
古漬 部門より
古漬 部門より
Western Digital の古い NAS、WD My Book Live および WD My Book Live Duo が未修正の脆弱性(CVE-2018-18472)を突かれ、リモートからファクトリーリセットを実行されてデータがすべて消えたとの報告が複数出ている(セキュリティアドバイザリー WDC-21008、 BleepingComputer の記事、 Ars Technica の記事、 The Register の記事)。
両製品は2010年~2012年に発売され、2014年に販売終了しており、最後にファームウェアが更新されたのは2015年のことだという。CVE-2018-18472はリモートから root としてコマンドを実行可能な脆弱性で、2018年に報告され、PoC も公開されている。しかし、Western Digital は報告者に対し、ファイアーウォールでリモートからのアクセスを防ぎ、ローカルネットワーク内の信頼されたデバイスのみがアクセスできるようにするなどの対策を提示するにとどまった。
今回 Western Digital では問題を調査していると述べる一方、現時点ではインターネットから両製品を切り離すことを推奨している。
両製品は2010年~2012年に発売され、2014年に販売終了しており、最後にファームウェアが更新されたのは2015年のことだという。CVE-2018-18472はリモートから root としてコマンドを実行可能な脆弱性で、2018年に報告され、PoC も公開されている。しかし、Western Digital は報告者に対し、ファイアーウォールでリモートからのアクセスを防ぎ、ローカルネットワーク内の信頼されたデバイスのみがアクセスできるようにするなどの対策を提示するにとどまった。
今回 Western Digital では問題を調査していると述べる一方、現時点ではインターネットから両製品を切り離すことを推奨している。
酷い対応だ (スコア:2)
リモートから root としてコマンドを実行可能ってのを放置ってのは駄目だろう。
最低限リモートからのコマンドを全拒否可能な設定は担保されるべき。
Re:それはそうなんだけど (スコア:0)
インターネットへのルーティングを保持しているNAS利用者も大概だと思うけどな
保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:0)
今回は自分のデータが死んだだけで周りに迷惑を掛けてないが、いずれボットネットに参加したり、ネットワーク内への侵攻の橋頭堡になる可能性もある。
あらゆる機器は、今は攻撃を受けてなくてもいつやられるかは分からない。
従って常にファームウェアを更新し続けるしかないし、もし更新できなくなったらインターネットに繋がないようにするしかない。
当然で今更だけど、保守が切れてファームウェアが更新されないようになった機器をインターネットに繋ぐのは危険なんだよ。
かといって、メーカーに未来永劫サポートしろというのも土台無理な話なので、結局は適切に使わないのが悪いという結論になる。
壊れていないのに使わないのはもったいないとか、そんなの使うのは人の勝手だろとか、理解できない人が多いかもしれないが。
公式対策のファイアウォールで防御しろというのも分かる人ができるだけで、ただのNASなのでそういう対策ができない人も多いだろう。
繋がない方法は物理的かファイアウォールでブロックするかは好きにしたらいいが、いずれにしても警鐘は鳴らすべきと思う。
Re:保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:2)
設計寿命とか物理的な寿命に対して保証期間とか販売期間、製品サイクルが速すぎるんですよね。銀行のメインフレームみたいなシステムならあり得ない問題なんでしょうけど、値段もあり得なくなってしまうわけで……
Re:保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:1)
しかもそういうのに限ってIE依存だったりするのが面倒な所なのです
Re: (スコア:0)
そのIEは金は一切ださんが未来永劫使えるようにパッチ出し続けろといわれるんだよなー。
Re:保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:2, 参考になる)
参考までに、近年改正された電気通信事業法のIoT機器のセキュリティ基準に係る技術基準適合認定ではファームウェア更新できることが技適マークの取得要件に加わってますね
https://www.soumu.go.jp/main_content/000615696.pdf [soumu.go.jp]
Re: (スコア:0)
機能として存在していることと、その機能による更新が提供され続けることは別なんですよね・・
しかもファームウェア内にはほとんどの場合、プロプライエタリなデバイスドライバが入っているため、
それゆえに脆弱性を修正できないか、そのデバイスドライバ自身に脆弱性があったりもするわけで・・
場合によっちゃTiVo化 [wikipedia.org]されてたりも・・
Re: (スコア:0)
重大な脆弱性があれば、メーカーがファームウェア更新を提供する最低期間が定められてない以上、
ザル基準だな
Re: (スコア:0)
できるでは意味がないしなければならないにしないと。
Re:保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:1)
いいですね
国内キャリアモデルのAndroidスマホは軒並み使用不可
中古市場も国内キャリアモデルのAndroidスマホは一掃
近年ではゲーム機やスマートウォッチも対象ですね
リコール回収かソース公開でメンテン募集の義務付けを選択
技適とも整合性をとってもらう必要はありますが
法で規制したら阿鼻叫喚の面白展開になりそうです
Re: (スコア:0)
それ、単独でキャリア回線につながるようなスマホやタブレットだけが問題だろ
当初の保守期間を超えたらSIMスロットを殺すようにすればいいだけだし、ソース公開でメンテナー募集なんて不確実なことをやる必要もない
あそこの製品は寿命が短いという悪評が立つのを恐れるメーカーは長くサポートすればいいんだよ
(現時点で市場に既に出回った保守切れの製品の回収をどうするかという問題はあるが)
ゲーム機やスマートウォッチは単独でインターネットに繋がずにブロードバンドルーター経由にするよう啓蒙しとけ
Re:保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:2)
日本だけで法規制かけても、アメリカやEUや中国が付いてこなければ実効性は薄いですね。
海外モデルやそれを転売する業者が跋扈するだけかと。
正直に(おそらくは割高な)国内モデルを買う人が馬鹿を見る結果になりそう。
Re: (スコア:0)
国内で販売される機器に掛ければ、実効性はそこそこあるのでは?
言うほど直輸入する人が多いとも思えないが。
Re: (スコア:0)
確かなことを言えるデータは持ち合わせていませんが、海外版と比べて国内版はモデルが極度に少ない・価格が高いとなれば、今より輸入するニーズは増えますよね。儲かるとなれば業者も参入するし。
大昔のガラケー時代の様に、認定したモデルしかネットワークに繋がせないパワープレイに走れば実効性は確保できるかも。非関税障壁でぶっ叩かれそうな気がしますが。
Re: (スコア:0)
インターネットに接続する機器の脆弱性の修正をメーカーに義務付けるべき
Re: (スコア:0)
はい、もちろん弊社側では修正済ですが、パッチを受け取るために有償サポートを契約して頂く必要があります。
費用ですか?1回のパッチで3万円ぐらいです
高い?15年前の家庭用ルーターですから、サポートするにはこれぐらいが妥当なんですよね…買い替えたほうがお客様も楽だとは思うのですが、なぜか昔の機器を使いたがるお客様もおられるのがわからないところで…
Re: (スコア:0)
この手の人々はそんな回答をすると自分でメンテするから全ソース提供しろって言いだすので
プロプラ部分の提供には信用調査後NDA・取引基本契約・ライセンス契約を結ぶ必用があります、信用調査に関わる費用など必要経費はお客様負担かつ事前支払いとなっております。なお、再提供が禁止されている物については含まれませんので予めご了承ください。
も追加しないと
Re:保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:2)
それを効果的に抑止していたのが基本プレイ無料でNDA禁止のGPLv2/GPLv3とLinux Kernelというわけでして。
Re: (スコア:0)
現実的にはGPLに則り公開されているソースだけでユーザーが更新できないなって事は珍しくなく・・・
まぁGPLの成果物を採用しているのに対象となるソースすら公開されていない酷い現実もありますが
Re: (スコア:0)
保守期間がおわったら、
・グローバルアドレスの通信はおなじサブネットのみ(サブネット不明な場合は/24)に限定
こんなのでいいのに
Re: (スコア:0)
そして、キャリアグレードIPv6 over IPv4が流行るという。
Re: (スコア:0)
未来永劫は無理としても製造打ち切り後7年は「欠陥の修正」を義務付けるべきだな。
あらゆる電化製品の中で、ソフトウェアだけは製造開始から2~3年程度でメンテナンス放棄がまかり通ってる方がおかしい。
Re: (スコア:0)
装置寿命が来るまで保守することを義務付ける前提ならいいと思うけどね。そうじゃなければメーカーが腐敗するだけだな。
Re: (スコア:0)
「ソフトウェア寿命の2年に合わせて本体外装が2年で崩壊するようにし、機器の寿命を分かりやすくしました」
これでいいか?
Re:保守期間終了の機器はインターネットへの接続不可を義務付けてはどうだろう? (スコア:1)
ソニータイマー
Re: (スコア:0)
良いかどうかは消費者が選択することだけどね。メーカが談合して足並み合わせたらお上が介入するだろうし。
Re: (スコア:0)
欧米ではお上が介入することは無いよ
問題になってマスコミで騒がれてから富裕層(市民)の間で運動が始まって変わる
Re: (スコア:0)
消費者も知らずにアメリカやEU全体で変な規制が通ってることだらけですが?
NASにグローバルアドレスを振る人がいるの? (スコア:0)
NASってローカルアドレスで運用するもんだろ?
っとおもったけど、中小企業じゃ取引先とのデータ送受信・共有につかわれてる模様
Re:NASにグローバルアドレスを振る人がいるの? (スコア:1)
Web共有有効化したら、UPnPとかで穴開けちゃうNASも有るからなぁ。
Re:NASにグローバルアドレスを振る人がいるの? (スコア:1)
今回のは、NATの内側でローカルで使ってる状況で発生する問題ですよ。
WDのNASシリーズは、WDのサーバーにNASがつなぎにいって、オンラインでのバックアップやファームウェア更新というのがサービスでついてくるもの。
利用者は一般公開してもないし、するつもりもない状態で発生します。
対策も、NASが、WDのサーバーへの接続しにいくのを拒絶する。付帯サービスを利用しないようにするってものです。
Re:NASにグローバルアドレスを振る人がいるの? (スコア:2)
悪用された可能性のある脆弱性はNAT越えられないとのことで、IPv6説が有力かなぁ。
Re: (スコア:0)
ある仕組みでやるべきことと出来ることには大抵の場合相当の乖離がある。
Re: (スコア:0)
NASってローカルアドレスで運用するもんだろ?
っとおもったけど、中小企業じゃ取引先とのデータ送受信・共有につかわれてる模様
あとは
初期のIPv6ルーターでIPv6ファイヤーウォールなしとか
UPnPのありがた迷惑機能で
知らぬ間にWeb直通公開しちゃってるやつとか
Re: (スコア:0)
>初期のIPv6ルーターでIPv6ファイヤーウォールなし
あったあった。メーカーに問い合わせたら「無いのが当たり前ですけど何か?」みたいな態度でビックリ
Re:別にびっくりする事はないだろう (スコア:0)
ファイアウォールではなくルータなんだからないのは理解できる。
Re: (スコア:0)
IPv6の思想が、NAPTで双方向End-To-End通信ができなくなったIPv4は邪悪、IPv6で双方向End-to-End通信を取り戻せ、だからね。
時代の変化についていけてない。
Re: (スコア:0)
ひどい浅慮と無知...ローカルアドレスなら安全だろうって考えはもう危険ですよ。あと個人用NASアプライアンスは大抵UPnPでインターネットからアクセスできる機能があります。