こんにちは。ゼロゼロワンの萩原（はぎわら）です。

今回はサポートが終了しているIoT機器としてHOME SPOT CUBEを解析した結果、どの様な脆弱性があったのかを解説したいと思います。
HOME SPOT CUBEは今でも多くの利用者がいる一方で、利用を速やかに中止するべきであると考えられる脆弱性が複数存在します。そして、サポートが終了していることから脆弱性が修正される見込みはありません。

免責事項：
弊社は当該機器の選定や解析にあたり何ら特別な意図を持っておらず、サポートが終了していて今でも一定数使われているという理由のみで対象としました。
本内容をご自身でお試しになる場合、ご自身の環境/所有する機器でない場合は不正アクセスに問われる可能性があります。弊社は不正アクセスを助長することを目的として本内容を公開していないことをここに明記します。

作業実施者：goroh_kun（弊社CTO）

脆弱な初期SSID及び初期WPAキー

工場出荷時に設定されている初期SSID及び初期WPAキーが脆弱です。SSIDとMac Addressに強い関連性があり、SSIDからMac Addressが推測できるほか、Mac AddressからSSIDを推測することも可能です。さらに、初期SSIDとMac Address用いて初期WPAキーを計算することが可能です。

対策
SSID及びWPAキーのそれぞれを変更します。変更の際には、できる限り乱数性が高く推測できないものをパスワードジェネレータ等で作成し、利用します。

備考：
弊社が2020年1月以降に収集したOSINT情報だけでも最低8000件以上のHOME SPOT CUBEが初期のSSIDと思われるもので動作しております。なお、当該OSINT情報は日本における収集があまり一般的ではないために、実際にはこの10倍から20倍以上の利用者がいる可能性があると考えられます。
また、国内のグローバルIPアドレスにおいてHOME SPOT CUBEであると判断できたホストは50件以上あります。それらの機器については以下に述べる脆弱性の影響を直接的に受けると判断できます。

不適切なアクセス制限

以下のURIについてログインすることなくアクセスが可能であり、重要だと思われる情報を入手することが可能です。
/MACaddress
/MACaddress.html
/status
/status.html
/PPoE.html
/favicon.ico

攻撃シナリオ
攻撃者はこれらのURIにアクセスし、重要な情報を入手します。

対策
ファームウェアアップデートにおいて適切なアクセス制御を実装します。

脆弱なデフォルトID及びパスワード

一意のデフォルトID及びパスワードでログインすることが可能です。さらに、ログインしていない状況において機器にアクセスするとデフォルトID及びパスワードを入手することが可能です。
ユーザーID：au
パスワード：1234

対策
ファームウェアアップデートにおいて初回ログイン時にパスワードを強制的に変更させる仕組みを導入するほか、マニュアル等で利用者にパスワードの更新を促すことを強く推奨します。
利用者は、管理画面からユーザーIDとパスワードを変更できるため、速やかに変更します。

ハードコーディングされているユーザーID及びパスワード

ハードコーディングされている一意のユーザーID及びパスワードでログインすることが可能です。
ユーザーID：root
パスワード：plu****a**7*（*には特定の値が入ります）

対策
ファームウェアアップデートにおいて当該ユーザーID及びパスワードを無効化します。

任意のコマンド実行

ユーザーID：rootでログインした後に以下のURIにアクセスすることによって任意のコマンドを実行することが可能です。
/syscmd.asp

対策
ファームウェアアップデートにおいて当該機能を無効化します。

CSRF（Cross-Site Request Forgeries）の存在

本機器上に存在するURI全般に渡ってCSRFの脆弱性が存在します。被害者は攻撃者が用意したリンクをクリックすることによって意図していない操作を実行させられてしまいます。
なお、ハードコーディングされているユーザーID：rootを使用してCSRFを成立させられるため通常のCSRFの前提条件であるユーザーの事前ログインは必要としません（ブラウザによってはBASIC認証を埋め込んだリクエストを不正なものとみなすものもあり、その場合は事前のログインが必要となります）。

対策
ファームウェアアップデートにおいて当該脆弱性を修正します。
なお、CSRFについての対策はIPAのサイトをご参照ください。

ファームウェアアップデート機能の提供終了

本機器はサポートが終了しており、ファームウェアの更新を管理するサーバは機能しておりません。そのため、ファームウェアアップデートによって、と対策に書いてあるものについて実現することはありません。

ファームウェア更新サーバ：
https://a*s.kddi-***.com/A*S-***/a*s（*には特定の値が入ります）

対策
脆弱性が修正される見込みがないため、機器の買い換えを強く推奨します。

終わりに：

脆弱性があっても使えるから良いじゃないか、という考え方も勿論できますが簡単に入手ができるマスターキーで玄関が開けられてしまう家にはどなたも住みたくないかと思います。そしてそのマスターキーは変えることができません。
リモートワークが今までに無いくらい普及するなか、脆弱なルーターの使用を続けることは業務の継続性に強く影響するのではないかと弊社では考えております。
IoT機器メーカーやISPの方でもう少し詳しく聞きたい、自社の機器の安全性を確認したい、同様の脆弱性（セキュリティ上の欠陥）を作り込みたくないというご相談がある場合は弊社ホームページの問い合わせフォームからご相談ください。