JVNVU#90662356
ARRIS 製ケーブルモデムに複数の脆弱性

ARRIS 製の複数のケーブルモデム製品には、バックドアパスワード、クロスサイトスクリプティング、クロスサイトリクエストフォージェリを含む複数の脆弱性が存在します。

これらすべての脆弱性が存在すると報告されている製品は次の通りです。

• TG862A
• TG862G
• DG860A

• TS0705125D_031115_NA.MODEL_862.GW.MONO
• TS0705125_062314_NA.MODEL_862.GW.MONO
• TS070593C_073013_NA.MODEL_862.GW.MONO
• TS0703128_100611_NA.MODEL_862.GW.MONO
• TS0703135_112211_NA.MODEL_862.GW.MONO

証明書やパスワードの管理 (CWE-255) - CVE-2009-5149
ARRIS 製の複数のケーブルモデム製品で使用されている "password of the day" は、既知のアルゴリズムで生成されています。このアルゴリズムと date および seed を知る遠隔の攻撃者は、機器に technician 権限でアクセスすることが可能です。

認証情報 (パスワード) がハードコードされている問題 (CWE-259) - CVE-2015-7289
上記の technician 権限とは別のアカウントには、モデムのシリアル番号をもとにして生成されたパスワードがハードコードされています。このパスワードを知る遠隔の攻撃者は、機器に administrator 権限でアクセスすることが可能です。

クロスサイトスクリプティング (CWE-80) - CVE-2015-7290
ウェブ管理画面の pwd のパラメータ adv_pwd_cgi には、反射型クロスサイトスクリプティングの脆弱性が存在します。

クロスサイトリクエストフォージェリ (CWE-352) - CVE-2015-7291
ウェブ管理画面の adv_pwd_cgi には、クロスサイトリクエストフォージェリの脆弱性が存在します。ウェブ管理画面にログインしたままのユーザに悪意のリクエストを送信させることで、攻撃者はユーザと同等の権限で任意の操作を実行することが可能です。


Shodan の検索結果は、多くの機器が Telnet、SSH またはウェブ管理機能を通じてインターネットからアクセス可能であることを示しています。 ウェブ管理画面に technician 権限のパスワードまたは SNMP を用いてアクセス可能な攻撃者は、Telnet や SSH を有効にすることが可能です。

"password of the day" を用いて technician 権限でログインすると、制限された状態の mini_cli シェルにアクセス可能です。
ハードコードされたパスワードを使用しログインすることで、BusyBox シェルの機能を全て使用可能です。

これらの脆弱性、特に認証情報 (パスワード) がハードコードされている問題を用いての攻撃活動が報告されています。詳しくは研究者が提供する情報を参照してください。

このアルゴリズムと date および seed を知る遠隔の攻撃者によって、当該製品に technician 権限または administrator 権限でアクセスされる可能性があります。また遠隔の攻撃者によって、当該製品にログインしたユーザの権限で任意の操作を実行されたり、ユーザのブラウザ上で任意のスクリプトを実行されたりする可能性があります。

2015年11月24日現在、対策方法は不明です。

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

• "password of the day" の seed を変更する
• セキュアでない遠隔管理機能を無効にする