パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OCN、ロジテック製無線LANルータの脆弱性を突いた攻撃を受けていた」記事へのコメント

  • by Anonymous Coward

    OCNは無実で、ロジテックがやらかした結果なのか?
    OCN以外でも同様の事象って発生したのだろうか。

    • by Anonymous Coward on 2013年08月21日 17時05分 (#2445272)

      詳細がわからないので推測してみる。

      ロジテックの無線ルータに、WANから管理画面にアクセスできる問題があった。
      ただし、これだけでCVSSのスコアが7.5になる?

      管理画面のところへアクセスができても、その前に管理画面の認証を突破する必要があるが、ブルートフォースで突破したとは考えにくい。
      よって考えられるのは次の2点。

      (1) パスワードが製品の工場出荷状態のままだった
      (2) 認証をバイパスする脆弱性があった

      というわけで、可能性として高いのは(1)。
      ユーザがデフォルトのパスワードのままにしていたんじゃないだろうか?

      こういう製品はデフォルトのパスワードではなく、一番最初の設定で管理者パスワードを決めさせるフローで設計したほうがいい気がする。

      親コメント
      • by Anonymous Coward

        こういう製品はデフォルトのパスワードではなく、一番最初の設定で管理者パスワードを決めさせるフローで設計したほうがいい気がする。

        それやると、問い合わせ窓口で一番多い質問が「パスワードを忘れたんですけど…」になってしまう。悩ましいっす。

        • by Anonymous Coward

          物理的にアクセスされる場合は仕方ないと割切って、パスワードリセットボタンを付けておくとか。
          あるいは、WANポートとLANポートをUTPケーブルで直結(ループ)させて○○秒経つとパスワードだけリセットされる仕組み突っ込んでおくとか。

        • by Anonymous Coward

          同感です。
          少なくとも家庭用用途で、ルータの脆弱性の保険としてパスワード設定を必須にするのは親切ではないと思います。
          コストの掛からない補強案としては、本体に貼り付け可能な、ランダム生成のパスワードシール(任意使用)を添付する、とかですかね…

          • by Anonymous Coward

            >コストの掛からない補強案としては、本体に貼り付け可能な、ランダム生成のパスワードシール(任意使用)を添付する、とかですかね…

            これに一票

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

処理中...