アカウント名:
パスワード:
パスワードの使い回しと似たような側面を持つ話ですかね?
ちょっと違うような気がするな。この手の機器で使われている証明書ってのは、サーバ証明書のことだよね。
この手の機器のサーバ証明書は、デフォルトのもの(多分オレオレ証明書)が組み込まれていて、同一機種(もしくは同一OS)であれば、どれも同じものが使われている。だとすると、同一機種を買って来れば、その中から当該サーバ証明書に対応する秘密鍵を取り出すことができるかもしれない。
秘密鍵を取り出せれば、後は機器とウェブブラウザとの通信経路の間に入れてしまえば、好き放題に中間者攻撃できる。パスワードも盗めるので、設定は弄れるし、ユーザサービスのHTTPSを愁嘆している機器であれば、クレジットカード番号みたいな秘密情報も盗めるかもしれない。
まあ、結果的には、パスワードの使いまわしで、機器にアクセスされてしまう危険と同じではあるけど。
ただ、機器とウェブブラウザとの通信経路の間に入れるか、ってのは一つのハードルにはなるんじゃないかな。インターネット経由で機器を管理するとかなら、深刻な問題になり得る。
難しく考えすぎです
証明書が同じなので,正規のネットワーク機器と,中間者攻撃用のネットワーク機器が区別できない,ってだけです
よくわからんのですが、「正規のネットワーク機器」と「中間者攻撃用のネットワーク機器」とは同じ証明書を使う機器で、かつ、その機器を中間者攻撃用に使えるように設定できる、って話ですか?例えば、その機器のファームウェアを改造して、自分宛でないHTTPSとらえて終端し、ログイン時のパスワードをダンプするようファームウェアを改造するとかですか?中間者攻撃、ってことだと、それからさらに「正規のネットワーク機器」に転送する必要もありますが。
秘密鍵を取り出すのと、どっちが難しいですかね?
秘密鍵なんぞとりださなくとも、その機器を使えば成りすませるってこじゃないのか。
普通はなりすませないでしょ?例えば、Web管理画面にアクセスする場合、ユーザ名とパスワードを入力することになりますが、それは「正規のネットワーク機器」には設定として入っているけど、攻撃者は普通それを取り出すことはできません。なりすました機器を中間に置いたとしても、ファームウェアの改造なしに、パスワードをダンプさせることは、普通できないと思います。
「正規のネットワーク機器」に物理的にアクセスできて、それからパスワードを取り出せるなら話は別ですが、そうなると今回の脆弱性とは無関係な話になりますね。
うん、それでIDとパスをユーザーから貰えるよね。ユーザーにすりゃ正規の管理画面のつもりで入力するのだから。
入力させることまでは、ファームウェアの改造無しにできます。しかし、正規ファームウェアには、入力されたパスワードをダンプする機能は、ついてませんよね、普通。少なくとも私は、そんな機能がついているネットワーク機器を見たことがありません。
ただ、パスワードの様なユーザ認証無しに接続するような機能であれば、なりすましは可能です。あるいは、認証をLDAPの様な別の認証サーバに依っているものなんかは可能かもしれませんね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
これって要するに (スコア:0)
パスワードの使い回しと似たような側面を持つ話ですかね?
Re: (スコア:1)
ちょっと違うような気がするな。
この手の機器で使われている証明書ってのは、サーバ証明書のことだよね。
この手の機器のサーバ証明書は、デフォルトのもの(多分オレオレ証明書)が組み込まれていて、同一機種(もしくは同一OS)であれば、どれも同じものが使われている。
だとすると、同一機種を買って来れば、その中から当該サーバ証明書に対応する秘密鍵を取り出すことができるかもしれない。
秘密鍵を取り出せれば、後は機器とウェブブラウザとの通信経路の間に入れてしまえば、好き放題に中間者攻撃できる。
パスワードも盗めるので、設定は弄れるし、ユーザサービスのHTTPSを愁嘆している機器であれば、クレジットカード番号みたいな秘密情報も盗めるかもしれない。
まあ、結果的には、パスワードの使いまわしで、機器にアクセスされてしまう危険と同じではあるけど。
ただ、機器とウェブブラウザとの通信経路の間に入れるか、ってのは一つのハードルにはなるんじゃないかな。
インターネット経由で機器を管理するとかなら、深刻な問題になり得る。
Re: (スコア:0)
難しく考えすぎです
証明書が同じなので,正規のネットワーク機器と,中間者攻撃用のネットワーク機器が区別できない,ってだけです
Re: (スコア:1)
証明書が同じなので,正規のネットワーク機器と,中間者攻撃用のネットワーク機器が区別できない,ってだけです
よくわからんのですが、「正規のネットワーク機器」と「中間者攻撃用のネットワーク機器」とは同じ証明書を使う機器で、かつ、その機器を中間者攻撃用に使えるように設定できる、って話ですか?
例えば、その機器のファームウェアを改造して、自分宛でないHTTPSとらえて終端し、ログイン時のパスワードをダンプするようファームウェアを改造するとかですか?
中間者攻撃、ってことだと、それからさらに「正規のネットワーク機器」に転送する必要もありますが。
秘密鍵を取り出すのと、どっちが難しいですかね?
Re: (スコア:0)
秘密鍵なんぞとりださなくとも、その機器を使えば成りすませるってこじゃないのか。
Re:これって要するに (スコア:1)
秘密鍵なんぞとりださなくとも、その機器を使えば成りすませるってこじゃないのか。
普通はなりすませないでしょ?
例えば、Web管理画面にアクセスする場合、ユーザ名とパスワードを入力することになりますが、それは「正規のネットワーク機器」には設定として入っているけど、攻撃者は普通それを取り出すことはできません。
なりすました機器を中間に置いたとしても、ファームウェアの改造なしに、パスワードをダンプさせることは、普通できないと思います。
「正規のネットワーク機器」に物理的にアクセスできて、それからパスワードを取り出せるなら話は別ですが、そうなると今回の脆弱性とは無関係な話になりますね。
Re: (スコア:0)
うん、それでIDとパスをユーザーから貰えるよね。
ユーザーにすりゃ正規の管理画面のつもりで入力するのだから。
Re:これって要するに (スコア:1)
うん、それでIDとパスをユーザーから貰えるよね。
ユーザーにすりゃ正規の管理画面のつもりで入力するのだから。
入力させることまでは、ファームウェアの改造無しにできます。
しかし、正規ファームウェアには、入力されたパスワードをダンプする機能は、ついてませんよね、普通。
少なくとも私は、そんな機能がついているネットワーク機器を見たことがありません。
ただ、パスワードの様なユーザ認証無しに接続するような機能であれば、なりすましは可能です。
あるいは、認証をLDAPの様な別の認証サーバに依っているものなんかは可能かもしれませんね。