普及品 Wi-Fi ルーターに大量の脆弱性:TP-Link 32件/Synology 30件/Netgear 29件など

Hundreds of vulnerabilities in common Wi-Fi routers affect millions of users

2021/12/05 SecurityAffairs — ドイツの IT 雑誌 CHIP のセキュリティ研究者と編集者たちは、有力メーカー (Asus/AVM/D-Link/Netgear/Edimax/TP-Link/Synology/Linksys) の9つの Wi-Fi ルーターに 226件の潜在的なセキュリティ上の欠陥を発見した。これらの脆弱性により、数百万人のユーザーが影響を受ける可能性があるという。TP-Link Archer AX6000 には 32件の脆弱性が発見されており、Synology RT-2600ac には 30件、Netgear Nighthawk AX12 には 29件の脆弱性が見つかっており、これらの脆弱性の影響を受ける可能性が生じている。

また、専門家たちは、Netgear Nighthawk AX12/Asus ROG Rapture GT-AX11000/Edimax BR-6473AX/Linksys Velop MR9600/AVM FritzBox 7530 AX/AVM FritzBox 7590 AX にも数十件の脆弱性を発見した。研究者たちは、IoT Inspector のセキュリティ・プラットフォームを用いてネットワーク・デバイスを分析し、何千もの CVE やセキュリティ上の欠陥をチェックした。

専門家たちにより発見された最も一般的な問題は、ファームウェアとして使われる古い Linux カーネル/時代遅れのマルチメディアおよび VPN 機能/ハードコードされた認証情報の存在/安全ではない通信プロトコルの使用/脆弱なデフォルト・パスワードなどである。

専門家たちは、「セキュリティ問題の中には、複数回検出されたものもある。大半のケースにおいて、古い OS である Linux カーネルが使用されている。ファームウェアに新しいカーネルを組み込むコストを抑えるため、最新の状態にしているメーカーはなかった。また、デバイスのソフトウェアも、BusyBox のような標準的なツールに依存していることが多く、古いものが使用されていることが判明している。また、それらのデバイスが提供するルーティング以外の付加サービス (マルチメディア機能や VPN など) も、同様に古い傾向がある。実際のところ、多くのメーカーが “admin” のようなデフォルトのパスワードを使用しており、多くの場合、平文で読むことが可能だ」と述べている。

研究者たちは、すべての確認された問題が、悪用可能とはいえないことを指摘し、また、偽陽性も発見されている。その結果はメーカーと共有されたが、ほとんどの欠陥は、すでに修正されているとのことだ。

IoT Inspector の CTO である Florian Lukavsky は、「今回のテストでは、中小企業や家庭で利用される、安全とされるルータに対する期待を大きく裏切る結果となった。すべての脆弱性が同様に重要なわけではないが、今回のテストでは、すべてのデバイスにおいて、ハッカーの活動を容易にする重大なセキュリティ上の脆弱性が見つけられた」と述べている。

専門家たちは、ユーザーが工場出荷時の設定を変更すること、デバイスが自動更新されていることを確認すること、不要な機能を無効にすることを推奨している。それらのデバイスが、家庭あるいは企業で使用されているかにかかわらず、初回使用時のパスワード変更や、自動アップデート機能の有効化などは、すべての IoT デバイスで標準的に実施する必要がある。

IoT Inspector の CEO である Jan Wendenburg は、「メーカーが導入した脆弱性以外の最大の危険は、”plug/play/forget” という慣習に従って、IoT デバイスを使用することだ」と結論付けている。

冒頭に書かれているとおり、一連の脆弱性は Asus/AVM/D-Link/Netgear/Edimax/TP-Link/Synology/Linksys といったメーカーの製品に存在しているとのことです、先日に、「オープンソースからバグを取り除く:重要なのは報奨金とエコシステムだ」という記事をポストしましたが、そこには「オープンソース・ソフトウェアの脆弱性を発見するには平均で4年もかかる」と記されていました。今回の CHIP 紙レポートで指摘された脆弱性が、どれほど FIX しているのかどうか分かりませんが、ファームのアップデートは確認したほうが良さそうですね。

%d bloggers like this: