読者です 読者をやめる 読者になる 読者になる

一部ケーブルモデムのSNMP実装に「StringBleed」脆弱性が見つかる

タイトルの通りですが、ケーブルモデムの一部機種におけるネットワーク管理用プロトコルSNMP実装に脆弱性があり、認証なしで任意の処理が可能なことが判明しました。

「ケーブルモデムの一部モデルにSNMP『神モード』を許す不具合が見つかる」

www.bleepingcomputer.com

これは(現象からみると)SNMPのV1,V2の「community string」(送信側が送る認証用文字列)を検証していないものと推測されます。

「community string」を使う認証(?)方式自体がHTTPベーシック認証未満の緩いもの(LAN内でのみ使われる前提だったのでしょう)な上にこの脆弱性なので、厳しいところです。

なお、そもそもcommunity stringはデフォルトのことが多く問題になりやすいようですね。

www.atmarkit.co.jp

影響を受けることが判明しているモデルはCiscoなどの58モデルで、記事末尾についています。