【VIPセキュリティ部】NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え＆root権限も奪取可能

1 ：以下、？ちゃんねるからVIPがお送りします：2020/12/02(水) 23:50:43.961 .net

ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるファーウェイ製ネットワーク機器「HG8045Q」について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。
このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。

NURO光から得られた最終的な回答：

・特定されたアカウントはNURO光の管理者アカウントだが、直ちに外部から不正なアクセスをされるわけではないので修正などの対応はしない

・管理者アカウントを利用して不具合が発生しても、NURO光側としては一切のサポートはしない

・脆弱性の公開はできれば控えてほしいが、禁止するというわけではない

・2020年10月19日にアナウンスしたファームウェアアップデートでも、脆弱性の修正は行っていない

https://gigazine.net/news/20201128-nuro-onu-vulnerablity/

2 ：以下、？ちゃんねるからVIPがお送りします：2020/12/02(水) 23:57:37.511 ID:dxX4uxO1M.net

NTTのルーターにもそういうアカウントあって流出してるぞ