【活用ガイド】

JVNDB-2016-001345

OpenELEC と RasPlex に root の SSH パスワードがハードコードされている問題

概要

OpenELEC およびその派生製品では、ハードコードされた root 権限のパスワードを使用しており、デフォルトの設定で root による SSH 接続が有効になっています。

認証情報 (パスワード) がハードコードされている問題 (CWE-259)

CWE-259: Use of Hard-coded Password
http://cwe.mitre.org/data/definitions/259.html

OpenELEC は、ハードコードされた root 権限のパスワードを使用しています。ファイルシステムの root パーティションは読込み専用 (read-only) のため、一度インストールしてしまうと、その後、ユーザはパスワードを変更することができません。さらに、機器への SSH 接続がデフォルトで有効になっています。

RasPlex は OpenELEC をベースにした製品のため、OpenELEC と同様の問題を抱えています。

RasPlex は次のように述べています。

 "The root filesystem is read only (squashfs). This prevents the ability to change the root password, but also prevents an attacker from modifying the filesystem.
root ファイルシステムは読込み専用 (SquashFS) です。そのため、root パスワードを変更することはできませんが、それと同時に、攻撃者がファイルシステムを改変することもできません。"
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 10.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


OpenELEC
  • OpenELEC
RasPlex
  • RasPlex

想定される影響

遠隔の攻撃者によって、当該機器に root 権限でアクセスされる可能性があります。
対策

2016年2月3日現在、CERT/CC ではこの問題を完全に解決できる方法を把握していません。
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

[パスワード認証による SSH 接続を無効にする]
SSH 接続におけるパスワード認証を無効にし、鍵認証を有効にしてください。

鍵認証
http://wiki.openelec.tv/index.php?title=Config_connect_ssh_wo_password

RasPlex は次のように述べています。

"users can simply disable SSH via the dialog if they are worried about being compromised.
機器への侵害を懸念するユーザは、単純に SSH を無効にすることができます。"


[異なるパスワードを使用してビルドする]
製品開発者は、ソースコードから OpenELEC または RasPlex のディストリビューションをビルドすることができ、その際に root パスワードを変更可能です。それでも、パスワードがハードコードされていることに変わりはなく、ユーザはさらに攻撃を受ける可能性があります。また、パスワードの変更のためには再度ビルドし、機器に適用する必要があります。


[ネットワークアクセスを制限する]
ファイアウォールなどを使用して、信頼できるホスト、ネットワーク、サービスのみが機器にアクセスできるよう設定してください。
ベンダ情報

OpenELEC RasPlex
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
  2. 証明書・パスワードの管理(CWE-255) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-2230
参考情報

  1. JVN : JVNVU#99850969
  2. National Vulnerability Database (NVD) : CVE-2016-2230
  3. US-CERT Vulnerability Note : VU#544527
更新履歴

  • [2016年02月04日]
      掲載
    [2016年03月01日]
      CVSS による深刻度:内容を更新
      CWE による脆弱性タイプ一覧:CWE-ID を追加
      参考情報:Common Vulnerabilities and Exposures (CVE) (CVE-2016-2230) を追加
      参考情報:National Vulnerability Database (NVD) (CVE-2016-2230) を追加

公表日2016/02/02
登録日2016/02/04
最終更新日2016/03/01