サイト内の現在位置
リモートアクセスに関する脆弱性について: Aspireシリーズ
2020年10月 1日
NEC プラットフォームズ株式会社
1. 概要
Aspire シリーズにおいて、セキュリティに関する脆弱性があることが判明しました。この脆弱性に対して悪意ある第三者から攻撃された場合、リモート保守機能を不正に操作される危険性があります。
このため、以下に詳細事項を記載致しますので、ご確認のうえ適宜ご対応頂きたく宜しくお願い申し上げます。
2. 対象製品
品 名 | 対象バージョン | 出荷時期 |
---|---|---|
Aspire WX | 1.00 ~ 2.01 | 2018年 8月 |
Aspire UX | 1.00 ~ 9.50 | 2013年 9月 |
Aspire X | 1.00 ~ 11.30 | 2008年 3月 |
3. 脆弱性の説明
3.1 脆弱性の内容
Webプログラミング*1 (以下、Webプロ)によるリモート保守機能において、専門的な技術スキルを持つ悪意ある第三者が、インターネットを介して非常に特殊な手順を踏んでAspireへの接続操作を行った場合、任意の管理者になりすましAspireの機能の一部を不正に制御される可能性がございます。
- *1パソコンをAspireシステムに接続しインターネットブラウザを使用してシステムデータの変更が可能
脆弱性の詳細については、米 MITRE 社が提供する共通脆弱性識別子(CVE)の下記の番号にて一般公開されております。
CVE-2019-20028/CVE-2019-20029/CVE-2019-20033
3.2 本脆弱性がもたらす脅威
Webプロによるリモート保守機能にて、システムデータの変更などの機能を提供していますが、これら機能の悪用による脅威が考えられます。
-
システムデータを無効な値に変更したり、初期化したりすることで、運用停止される可能性がございます。
-
システムデータの値を変更することで、意図しない運用状態に変更される可能性がございます。
-
Aspireに接続されている外部機器に対して意図しない動作が実行される可能性がございます。
-
Aspireシステムを踏み台にして、国際電話不正利用などによる高額な電話料金を請求される可能性がございます。
3.3 運用形態による危険性の差異
本脆弱性は、Webプロによるリモート保守機能を悪用するものです。
ネットワークに接続せず運用されている場合には影響ありません。
ネットワークに接続されている場合は、その運用により危険性が変わります。
危険性のある運用
-
インターネット上からグローバルIPアドレスを指定すると、Webプロへのアクセスが可能な運用
(インターネット上にAspireを公開しているシステム) -
保守上のログインID、パスワード、およびリモートメンテナンス特番を初期値で運用
4. 対策方法
4.1 回避策
危険性のある運用に対して見直しを行っていただくことで防止効果が期待できます。
-
Aspireシリーズ側での対策
- ID、パスワードの変更および管理強化
- 利用ユーザーの限定
- 使用しないリモートアクセス機能の閉塞(機能をOFFにする、アクセスコードの削除)
-
ネットワーク側の対策
- Aspireシリーズに対してグローバルIPアドレスを付与しない
- 社外ネットワークからのアクセスを拒否する
- 社外ネットワークからのアクセス元を限定する
4.2 ソフトウェアについて
運用を見直していただいたうえでさらにセキュリティを強固にするためのソフトウェアも提供しております。運用の確認および本ソフトウェアについては、お客様が購入いただいた販売店へお問い合わせください。
5. 更新履歴
2020年 7月31日 この脆弱性情報を公開しました。
2020年10月 1日 6. 連絡先 セキュリティセンター開設について期間を変更。
6. 連絡先
キーテレフォン セキュリティセンター(2020年8月11日~2020年10月13日)
電話:042-716-9885 (当社指定休日除く 9:00 ~ 17:00)