以前の記事でTP-Linkのルータを買ったことを報告しました。
その際に少し触れた過去のバックドア騒ぎについて、少しだけ状況を追ってみたので書いておきます。
発見した人
発見したのはポーランドのセキュリティ専門家のようです。下記の記事を参照のこと。
https://sekurak.pl/tp-link-httptftp-backdoor/
2013年2月~3月ごろの話のようですね。
前の記事で書いたベトナムのセキュリティ会社発のニュースは忘れてください。
バックドアの概要
バックドアの概要は以下のようなものであったようです。
- 攻撃者は、この脆弱性のあるルータに、以下のような攻撃用リクエストを投げる。
http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html
- リクエストを投げた攻撃者のPCに対し、ルータは、TFTPでnart.outというファイルを取得しに来る。
- ルータは、取得したnart.outをroot権限で実行する。
要は、攻撃者は、ルータ上で好き勝手なプログラムを動かすことができたということです。
暗号化されていない通信を覗き見したり、偽DNS建てて家庭内からのサイト閲覧時に悪意のあるサーバに誘導したり、ルータ上で悪意のあるbotを動かして犯罪の踏み台にしたり、家庭内の無線機器に対してスキャンかけたりアタック仕掛けたり、
……と、いろいろできてしまいそうです。
攻撃成立の前提
この攻撃の前提は、ルータ管理画面のURLにアクセスできること。
ここで示した攻撃用リクエストURLはプライベートIPなので内部のLANに接続された状態で攻撃を仕掛けるかたちになっていますが、WAN側にもHTTP管理画面を開けるような設定になっていたら外部から攻撃することができてしまうということです。
そして一旦攻撃が成立したら、そのときに攻撃者が恒久的に外から好きなことをできるような穴を開けることもできてしまいます。
その場合、あとから外部向け管理画面を閉じても無駄、ということになりかねません。
救いは「最初からバックドアがフルオープンなわけではない」ということです。
前提条件を逆から見れば、管理画面を外部から見られるような管理体制にしていなければ問題ない、ということでもあるわけなので。
この状況のおかげで、「TP-Link社が悪意を持ってバックドアを仕込んだわけではなくメンテナンス用に設けていた穴が残っていただけ」などと多少は好意的に解釈する余地も生じているわけですが、実際のところは、はてさて……?
ここはTP-Link社の製品を検討する各人が判断すべきところかと思います。
いずれにせよ、外部から機器の管理画面にアクセスできたほうが便利だという局面はもちろんあるかとは思いますが、今回のようなバックドア云々がなくてもそんな設定にしておくのはリスキーなので、原則として避けましょう。
あと、無線LANの(WPA2の)キーを十分複雑なものに設定しておくことも重要です。
なお、私はもともと無線LANルータとして外部から見えるセグメントには置いておらず、内部のアクセスポイントとして利用していたのでセーフと思われます。たぶん……
現時点でのバックドアの状況
いくら「私自身はセーフと思われる」などといえども、やはり気持ち悪いので現在の状況を確認しようとしました。しかし結論から言うとよくわかりません。
まず確認したのは先の
sekurak.plのサイトで、そちらによると問題発生後の経緯は以下の通りのようになっています。
12.02.2013 – TP-Link e-mailed with details – no response
22.02.2013 – TP-Link again e-mailed with details – no response
12.03.2013 – public disclosure
14.03.2013 – UPDATE: contact from TP-Link Poland. They asked for some more detailed information. Additional PoC sent.
15.03.2013 – UDPATE: confirmation of the issue (it is WAN exploitable if http admin is available from WAN side)
ポーランドのTP-Link社が問題を認識したところで終わってるみたい。
そのあとどうなったのかわかりませんね。
次に確認しにいったのはTP-Link社のサイトです。
というわけで、繰り返しになりますがよくわからない。
バックドア発見のニュースは2013年なのでさすがに対応しているだろう、とは思ってはいます。
しかし希望的観測と言われれば「そうですね」というしかないし、何にせよ不明というのはやはりもやもやします。
補足:KRACKsとの関係
先ほど、外部から見えなければ問題ないと書きました。
ここで私が気になったのが、少し前に話題になっていたWi-Fiの脆弱性、通称KRACKsです。
プロトコルレベルでの脆弱性なので機器を問わない脆弱性と言われていました。
これとの合わせ技で、外部から管理画面に接続できてしまうのではないか?
というのが気になったこと。
これまた結論から言うと、たぶん大丈夫なんだけど、無線LANの設定によっては問題になる可能性もある、といったところのようです。
困ったことではありますが、KRACKsの問題の方はTP-Link社……というか無線LANアクセスポイントが悪いわけではないのでどう評価したらよいものか。
ちょっとこの記事の本題から外れますが触れておきます。
KRACKs概要
まず、KRACKsに関する情報の一次ソースはこちら。ただし英語です。
日本語の情報源としては以下のサイトの情報がわかりやすいと思います。
上記のサイトを参考にした上でKRACKsという脆弱性の影響を端的に言ってしまえば、
「無線LANの規格そのままに機器を作ってしまった場合、LANの通信を盗聴したり偽造データ送信できたりしてしまうかもしれない」
というものです。とんでもないですね。
ただ、このKRACKsというのはWPA/WPA2という無線の規格に関する脆弱性なのですが、この問題が出てきたからと言って一昔前の規格であるWEPというのを使うよう設定を変えるのは論外です。
そちらのほうがよっぽど大穴開いてます。
KRACKsと今回触れたバックドアとの関連
さて、「盗聴したり偽造データ送信できたり」と書きましたが、実際には、無線LANの暗号化方式によって影響の大きさが異なります。
これまたざっくりいうと、「AES」とか「CCMP」とか書かれている接続方式であれば影響は盗聴のみで済みますが、「TKIP」とか「GCMP」とか書かれている接続(というか暗号化)方式であれば、偽造データの送信までできてしまう、ということのようです。
これはどういうことでしょうか。
「TKIP」とか「GCMP」とかいうもので接続している機器がある場合、件のバックドアを(今でもまだ残っているのであれば)突くことができてしまうかもしれない。
ということです。これはイヤだなあ。
AESであれば、バックドアに関してはとりあえずは関係ないとみてよさそうです。
盗聴の心配はあるのですが、これはKRACKs脆弱性に関係なく、もともと意識してSSLやSSHを使うことで自衛するようにしています。
ところで、いまの説明で出てきた「AES/TKIP/GCMP」というのは、無線LANに関するいろいろなレイヤの話をごちゃ混ぜにした雑な説明(厳密に言えば一部不正確)なので、きちんと理解しておきたい人はこちらのサイトも参考にしておくとよいでしょう。
GCMPという言葉はたぶんこの記事のあとに出てきた規格で、CCMPと同レベルでAESなどと組み合わせられるものですが(でもAES-CCMPの組み合わせより今回のケースでは弱い)、実際にはほとんど使われていないようなのでとりあえず普通の人はスルーしておいて良いように思います。
さらに余談:KRACKsへの現在の対応状況
TP-Link社の製品に存在すると言われたバックドアの仕掛けが2017/12現在まだ残っていて、かつ、無線LANの暗号化がAES-CCMPでなければ、KRACKsとの合わせ技はけっこう致命的かもしれない。
……ということがわかりました。
これは、現在のKRACKsへの各社対応状況を把握しておく必要がありそうです。
TP-Link製品のバックドアの話からKRACKsの話にどんどんそれていっていますがあと少しだけ続けます。
そもそもこのKRACKs脆弱性は、無線LANで「接続される側」ではなく「接続する側」で対応するものです。
つまりTP-Linkの製品であれ何であれ、アクセスポイントとして使用する限りでは問題ありません。(
TP-Link社の発表)
なので注意すべきは無線LANにぶら下がっている機器のほう、ということ。
例えばウチの無線LANにぶら下がっている機材でいうと、Windows機、Chromebook、iPhoneは対応されましたが、honor 8は
まだです。
少し前のAndroid(xperia Z3 CompactとZenfone5)に至っては、パッチ自体出るかどうか怪しい。
さらに任天堂のゲーム機とかCanonのプリンタとか、対応する気あるかどうかちょっと心配しています。
こちらに列挙されているベンダ情報にも、影も形もありません。ダイジョブかいな。
KRACKsの脆弱性が発表された当時は「プロトコル自体の脆弱性」ということで大騒ぎされましたが、パッチ適用で対応可能と発表されてから急に騒ぎは下火になった気がします。未対応機器いまでもいっぱいあると思うんですけれども。
最後に
TP-Link Archer C55のバックドアについて調べたことを書きました。
性能(速度や電波強度)自体には今のところ不満点は全くありません。
ご購入は自己判断でお願いいたします。
0 件のコメント :
コメントを投稿