ヤマハ製ルーターにWeb GUI関連の脆弱性 - PC Watch

[sabacurry]

このヤマハのルーターの話からは逸れるんだけど、組み込み系機器で利用頻度の低いweb GUIを用意してしまったことで脆弱性抱えてるのたまに見かけるので組み込み系の人たちは脆弱性ハンドリングのコストも考えた方が…

[zoidstown]

“対象となる製品は「RTX830」(Rev.15.02.17以前)、「NVR510」(Rev.15.01.18以前)、「NVR700W」(Rev.15.00.19以前)、「RTX1210」(Rev.14.01.38以前)。”

[deep_one]

『攻撃者の用意した悪意あるページに、Web GUIにログインした状態のユーザーがアクセスすると』CSRFか？／JVN見ると微妙に名前が違うから、もうちょっとひねった形になってるのか。

[camellow]

昔はウェブUIでネットワーク機器の設定するなんてクソめんどくせえCUIでやらせろ！って思ってたけど触る頻度が下がると機器ごとの文法は忘れるし設定を毎回イチから再確認するとかってなるとウェブUIが楽ちんなのよね

[eru01]

そもそもhttpdはオフなんだが。オンにする意味1ミリも無いやん

[programmablekinoko]

ウチや会社で使ってるの古すぎてセーフセーフ / GUI設定しても結局細かい設定はコマンド流し込んだほうが楽だし、逆にコマンドで設定したものをGUIで設定するとぶっ壊れることあるのでGUIはモニタ程度にしか使ってない

[ot2sy39]

うちのNVR510はRev.15.01.21にしてあったので大丈夫。攻撃成功条件が「当該製品のWeb GUIにログインした状態のユーザーが、攻撃者の作成した罠ページにアクセスする」なので、httpd host lanしてあってもダメだねぇ。

[lli]

VPN先がこれ使ってる場所あるなぁ。

[dollarss]

おおっと、CSRFかな？

[kenzy_n]

いまだに現役世代の機器だ

[nmcli]

おっと、今夜メンテナンスやるか・・・（速攻終わった）