また、セキュリティホール

LinkStation, 玄箱の標準ファームウェアに またセキュリティホールを見つけてしまった。
今回のセキュリティホールは、 生パスワードを盗まれるなんて生易しいものではない。

経緯

セキュリティホールの予感:4/5

ほげほげしていて、気がついた。
ひょっとして、ネットワーク上から、 任意のコマンドが実行できるのでは???

検証プログラムの作成:4/6

セキュリティホール検証プログラムを書いた。
ネットワークプログラミングが久しぶりだったのと、 プロトコルが推測でしかなく明確でないのとで、 試行錯誤に時間がかかってしまい、 任意のコマンドが実行できることを確認できたときには、 もう外は明るかった(4/7、朝6:00頃)。眠い。

乗っ取りの確認:4/7

予定していた私事があったので、会社を休んだ。 私事は午前中に済ませた。

午後、昨日作成した検証プログラムを修正し、玄箱に対して

  • ネットワーク越しに
  • なんらの認証もなく
  • 玄箱に root 相当ユーザ(uid=0)を作り、
  • そのユーザでログインできること
    を確認した。
    あとは好きしたいホーダイ(自分の玄箱を乗っ取っても仕方ないけど)。

    LinkStation での確認:4/7

    LinkStation には、標準では telnet ができないので、 アプローチを変え、共有フォルダ(/mnt/share)に置いてある ファイルが消せることを確認することにした。

    玄箱と LinkStation とで、全く同じだと思っていたのだが、 消せるはずのファイルが消せない。

    再度確認すると、玄箱と LinkStation とで、 プロトコルの一部が違っていた。

    LinkStation 用に検証プログラムを修正し、再度実行。
    予想通りファイルを消すことができた。

    玄人志向、Buffalo への連絡:4/7

    両機種で確認が取れたので、 玄人志向へはメールで、Buffalo へは Web から、 それぞれ
  • セキュリティホールが存在すること
  • 再現させるための検証プログラムが提供可能であること
    を連絡し、
  • すぐに対策を打つこと
  • 修正版のファームを提供すること
    をお願いした。

    トップページに警告:4/7

    修正ファームウェアが出るまで、 セキュリティホールの存在を書くことはできないが、 とりあえず警告を書いておいた。
    何の脈絡もなく唐突に警告を出したので、 違和感を持たれたかもしれない。
    中には
  • セキュリティホールを見つけたことを感づかれた方
  • 他を必死に攻撃していると勘違いされた方
    もいらっしゃるようである。まあどーでもええわ。

    余談

    このセキュリティホールに気がついている方が もう一人いらっしゃるような気がする。
    時を同じくしてセキュリティホールの存在を示されている。
    ただ、セキュリティホールの存在を示されているだけで、 現象などが書かれていないので、 このセキュリティホールなのか、 また違うセキュリティホールなのか、 それとも単なるハッタリ(失礼_o_)なのかは わからないが。

    セキュリティホールの存在を示したのが、 私だと勘違いされた方もいらっしゃるようだが、まあ、ほっとく。
    違うと書いても、決め付け君には効き目ないし。

    玄人志向、Buffalo からの返事:4/8

    玄人志向、Buffalo から、それぞれ返事が来た。
    メールを転送している携帯電話上では読んだが、 内容は納得できるものではなかった。

    睡眠不足の上、呑みに行ったので帰宅後すぐ寝てしまい^_^; 、 返事を出せず。

    玄人志向、Buffalo への返事:4/9

    朝6:00に起床。眠い。
    示された対策内容は納得できない旨、 玄人志向へはメールで、Buffalo へは Web から、伝えた。
    何で2通も出さなあかんの?

    Buffalo へ再度質問:4/9

    ちょっと気になることがあって、再度質問。

    Buffalo からの回答:4/12

    回答があったが、セキュリティホールを指摘しているにもかかわらず 「ご不便をおかけしていますか?」むね。
    はなしにならんわ。

    玄人志向に催促:4/18

    お知らせして、もう10日以上経過しましたが、、、、
    新しいファームウェアの提供はいつになりますでしょうか?

    玄人志向からファームウェアリリース:4/21

    メールできちんとお知らせいただいた。
    それも、Web で公開されている以上の情報を付加して。
    「セキュリティホール対策として一部コマンドを削除しました」が このセキュリティホールに相当すると思われる。

    Buffalo に催促:4/21

    お知らせして、もう2週間になりますが、
    新しいファームウェアの提供はいつになりますでしょうか?

    Buffalo からファームウェアリリース:4/22

    催促のお返事という形ではあったが、 メールできちんとお知らせいただいた。

    でも、アップデートのページには、
    「製造時の不具合を修正しました。」とあるだけで、

  • セキュリティホールがあったこと
  • アップデートをお勧めする旨
  • 謝罪の文言
    も、一切ないじゃないの。

    ほんと「駄目ルコ」とか「バッキャロー」って言われてもしゃーないね。
    欠陥を隠そうとする Buffalo の姿勢、 某乗用車≒某トラックメーカと一緒やね。 某乳製品メーカみたいになってもしらんで。

    一応親心で、 セキュリティホールが解決していることを確認してから、 このページを公開するつもりだったが、 ユーザの皆さんへ警告の意味を込め、 解決の確認前ではあるが、公開することにした。

    セキュリティホールの内容

    現象

    ネットワーク越しに root 権限で任意のコマンドを実行することができます。

    最悪は、LinkStation/玄箱が乗っ取られ、

  • 共有フォルダにあるファイルを消される/盗まれる
     (例:共有フォルダにおいてある個人情報が漏洩する)
  • 他のマシンを攻撃する踏み台にされる
    など、つまり、データもマシンも好きにされてしまうということです。

    発生範囲

    確認したのは、
  • LinkStation HD-H120LAN ファームウェア 1.40
  • 玄箱 ファームウェア 1.00
    です。
    あくまで推測でしかありませんが、 LinkStation の他のシリーズ、他のバージョンも 同じではないかと思います。

    ハックキットを適用した LinkStation, 玄箱には、 この(あくまで「この」)セキュリティホールはありません。
    ある手順を踏めば、このセキュリティホールが出現しますが、 まぁそんな手順を踏む人はいないでしょう。

    対策

    クラッカー(悪意のある人)がアクセス可能な状態のネットワークに LinkStation, 玄箱を接続しているなら、 即刻ネットワークケーブルを抜きます。
    ローカルなハブなどで作った安全なネットワークに接続して BUFFALO, 玄人志向から提供されている修正版のファームウェアを インストールします。

    セキュリティホールは直っているかと思いますが、 4/23 時点で山下は確認してません。
    メーカが解決したゆーんやから解決しとんやろ。

    04/05/09 追記
    ほぼ同時期に掲載された、 エレコムのセキュリティーホール修正のお知らせページです。
    弊社ブロードバンドルータに関する重要なお知らせ
    このページは、 事実を明らかにし、対策のお願いをし、謝罪をする という構成になっています。
    04/05/09 追記終り
    LinkStation/玄箱 をハックしよう → 新ファームと fromimage
    Copyright (C) 2004 Yasunari Yamashita. All Rights Reserved.
    yasunari @ yamasita.jp
    山下康成京都府向日市