logo
code:Haemophilus influenzae

ここに書かれていることは無保証です。同じことを行って問題が発生しても、 龍義は責任をとりません。

LD-WBBR/Bについて

LD-WBBR/B のセキュリティ問題について

elecom の以下の製品では重大なセキュリティ問題が含まれています。

elecom LD-BBR/B
elecom LD-WBBR/B
elecom LD-WBBRA/P
elecom LD-WBBRB/P
elecom LD-WBBRB/AP

確認は「LD-WBBRB/AP」で行いましたが、同じファームウェアを使用していることにより、 上記製品全てにあてはまると思われます。

理由は、以下の通りです。

1、telnet にて外部から login することができる

2、隠し cgi にて root 権限で任意のコマンドが実行可能

3、外部からファームウェアのアップデートができる

4、elecom に指摘をしたところ、 fix はしないと言われた

以下、その詳細です。さらにこのページにも少し書いています。


1、telnet にて外部から login することができる

LD-WBBRB/AP にて、23/tcp が open な状態になっているのですが、 以下のユーザ/パスワードでルータに login することができました。

ユーザ名:tsubota
パスワード:○○(削除しました)

問題は、LD-WBBRB/AP の WAN 側からでも login できること。つまり、 インターネット経由で侵入可能なことです。さらに悪いことに、無線 LAN を 搭載しているので(LD-BBR/B を除く)、適切なアクセス制限をしていないと、 第三者が無線 LAN 経由で侵入することも可能です。

kernel が 2.4.2 と古いものであることから、一般ユーザが login できれば、 root 権限が得られるのでは、と考えています。実際に root 権限を奪うことは 確認していません。

2004年4月6日追記
パスワードなしで login できるアカウントが見つかりました。小田原さん、 情報ありがとうございます。



2、隠し cgi にて root 権限で任意のコマンドが実行可能

隠し cgi である iptables.cgi にアクセスすることによって、 root 権限で 任意のコマンドが実行可能です。私はこの cgi を利用して /etc/passwd と /etc/shadow にユーザを追加し、 root 権限を持つユーザとして telnet から 侵入することができました。

このページにアクセスするには パスワードが必要なのですが、初期パスワードは 付けられていません。設定をしていないと、簡単に侵入されます。


3、外部からファームウェアのアップデートができる

ファームウェアのアップデートで使用される 9002/tcp が open の状態に なっています。実際にファームウェアアップデート中のパケットを見てみたり、 外部から接続をしてみたのですが、1、の指摘と同じようにインターネットから この作業を行うことが可能です。同じように無線 LAN からも書き換え可能です。 その作業において、パスワードなどを求める、という動作は確認できませんでした。

このことから、悪意を持った人が、改造を施したファームウェアに書き換えることが 可能であると思われます。つまり、仕組みを知っていれば、 簡単に乗っ取ることが可能になると思われます。


4、elecom に指摘をしたところ、 fix はしないと言われた

上記セキュリティの問題について、 elecom に指摘したところ、この問題に 対する fix は行わないし、その予定もない、と言われました。

私が回答を頂いた 2004年4月の時点では、上記問題が含まれると思われる LD-BBR/B はまだ elecom の web page にラインナップされています。 現行の機種が含まれる製品の致命的なセキュリティ問題を放置すると言った以上、 この製品をこれから購入する人は、そのことを考えた上で購入した方が 良いと思います。

回答は2004年4月2日、サポートの責任者サカイさんから elecom 社の正式回答として電話で頂きました。




by Tatsuyoshi
since 2003