FON - LaFoneraのセキュリティホール発見でござるの巻

FONって「プライベートネットワークを安全に保ったまま、外部にネットワークを貸し出すことのできる」ツールだと思ってたのですが。
実はそんなでもなく、少しだけ複雑なネットワークを組んでしまうと、すぐに脆弱性が露呈するという、非常に頼もしいツールだったりした訳です。はい。

ネットワークに入られちゃうよぉぉおおお

家の中にネットワーク(サブネット)が二つあると、FONがつながっている方のネットワークは安全に守られるんだけど、FONが参加していない方のネットワークは丸見えになってしまいます。
「そんなネットワークは、そんなに無いだろ(苦笑」っていう人もいるかも知れないけど、実はそんなでも無くて

  • 病院
  • 市役所
  • 学校

とか、普通にサブネット複数あります。そして、こういう所に居る自称物知りさんが「こういうFONってのがあるんだZE☆」とか言いながら、ネットワーク管理者に無断でFONを設置しちゃったりしてあらあらうふふ
FONが設置していない方のネットワークには入られ……業務ファイルを置くためのSambaのサーバが置いてあって、それがno passだったりすると……。

楽しそう!

後は

デフォルトの設定だと、LANの中DNSが応答してLAN内のマシンのipまで引ける、という問題があったりします。詳細は伏せますが、いろいろ頑張ると、ネットワークの構成を知ることが出来ます。
そして、上に挙げたような施設、学校や病院とかにはDNSサーバに色々なホストを登録してたりしており、そのネットワークが知られることは攻撃への足がかりになったりしてしまいます。

びっくりしたのが

ウォールドガーデン機能 - FONアクセスポイントの利用者がプライベート側で利用されるIPアドレス範囲にアクセスすることを禁止。

デフォルトでラ・フォネラはWAN側で利用されているIPアドレス範囲へのアクセスのみを制限しています。そのため、公開側の FON_AP 利用者はプライベート側にある他のVLANやサブネットにあるサーバーなどにアクセスできてしまうセキュリティリスクがあります

http://wiki.fon.com/wiki/FreeWLAN/ja

という公式wikiの記述。いやいやいや。公式に改造ファームの話が載っているのにもびっくりだけどさ、「公開側の FON_AP 利用者はプライベート側にある他のVLANやサブネットにあるサーバーなどにアクセスできてしまうセキュリティリスクがあります」って書いてあるとか……
「改造ファームではセキュリティホール塞いだけど、公式ファームでは開いたまんまだよ!」と公式のwikiに書いてあるとか、もうね、FON*れればいいのに。

一応IPAに通報しておきました。

脆弱性の種類
  1. 本来公開しないはずのLANネットワークに、公開APから接続可能となる。
  1. 内部用のDNS応答が、公開APからアクセスしたときにも返されてしまう。
再現手順

1. LaFoneraは、自分の参加しているネットワークのサブネットには、

・公開している無線LAN-APからはアクセスできなくする
・それ以外はアクセス可能にする

という動作をしていると思われる(デフォルト設定にて)。
しかし、LAN内にサブネットが二つあり、それらをゲートウェイで接続している場合、LaFoneraが接続しているネットワークにはアクセス制御が効くが、接続していないネットワークにはアクセス制御が効かない、という問題。

2. LAN内にDNSサーバが設置されている場合、LaFoneraはこれを参照して名前解決をするため、LAN内のコンピュータのhost,ip情報を引くことができてしまう問題。

脆弱性により発生しうる脅威

1.
FONの売り文句として、「公開APからはローカルのネットワークにはアクセスできず、安全だ」というものがあるので、これを過信して、複数サブネットがあるような環境(学校、企業、市役所など)に、ネットワーク管理者に無断で設置されているケースがある。

この場合に、外部からの侵入を許してしまうため、情報漏えいもしくはクラッキングなどの可能性が考えられる。

2.
内部へのアクセス権限なしに、ネットワークの構成を知ることができるため、侵入への足がかりとなる。また、1.と組み合わせることにより、侵入が非常に簡単となる。

回避策の有無

1.の問題に関しては、回避策無し。

2.の問題に関しては、LAN内のDNSを使わずに、外部のDNSを参照するように設定をすることにより回避できる。しかし、この場合プライベートの無線APからも参照できなくなる。

その他

公式のwikiによると、改造ファームを入れることにより、1.の問題が回避できる旨が書いてある。
http://wiki.fon.com/wiki/FreeWLAN/ja

なお

この情報については、LaFonera公式Wiki(jp/en)に書いてある公開情報なので、当ブログでも注意喚起の目的として情報を公開しました。