NECプラットフォームズ
サイト内の現在位置
脆弱性について: UNIVERGE SV8300/SV9300シリーズ用ボイスメールシステム「UM8000」
2020年 7月31日
NEC プラットフォームズ株式会社
1. 概要
UNIVERGE SV8300/SV9300/SV9300CT用のボイスメールシステム「UM8000」において、セキュリティに関する脆弱性があることが判明しました。この脆弱性に対して悪意ある第三者から攻撃された場合、UM8000の運用が停止させられるなどの危険性があります。
このため、以下に詳細事項を記載致しますので、ご確認のうえ適宜ご対応頂きたく宜しくお願い申し上げます。
2. 対象製品
| 個別製品名 | 該当版数 | 出荷開始時期 |
| SV93 UMS(4P/2G) | R4 | 2016年 7月 |
|---|---|---|
| SV93 UMS(4P/8G) | R4 | 2016年 7月 |
| SV83 UMS(4P/2G) | R1~R4 | 2009年 1月 |
| SV83 UMS(4P/8G) | R1~R4 | 2009年 1月 |
3. 脆弱性の説明
3.1 脆弱性の内容
UM8000に対して専門的な技術スキルを持つ悪意ある第三者が外線経由で非常に特殊な手順を踏んで不正にアクセスし、任意の管理者になりすまして、UM8000内のデータファイルなどにアクセスされる可能性があります。また、UM8000を介してUM8000が接続されているLAN上の他のネットワーク機器にアクセスされる可能性があります。
脆弱性の詳細については、米 MITRE 社が提供する共通脆弱性識別子(CVE)の下記の番号にて一般公開されております。
CVE-2019-20030/CVE-2019-20031
3.2 本脆弱性がもたらす脅威
UM8000のリモートメンテナンス機能を悪用される事によるリスクが考えられます。
- UM8000内部のデータファイルなどの窃取、削除。さらにUM8000が接続されているLAN上にある他のネットワーク機器にアクセスされる可能性があります。
3.3 運用形態による危険性の差異
3.3.1 外線からはUM8000のボイスメールの内容を確認できない運用形態
UM8000へアクセスして録音されているボイスメールの内容の確認は内線からだけで、外線からUM8000のボイスメールの内容の確認はできない形態で運用されている場合には影響はありません。
3.3.2 外線からUM8000へアクセスし、ボイスメールの内容を確認できる運用形態
外線からUM8000へアクセスして録音されているボイスメールの内容を確認できる場合、外部からUM8000に接続されてUM8000の内部にあるデータファイルの取り出しや削除などの攻撃を受ける可能性があります。
さらに、UM8000をLANに接続している場合、LANに接続されている他の機器にアクセスされる可能性があります。
危険性のある運用
UM8000に外線からアクセスしてボイスメールの内容の確認を行っている運用。
4. 対策方法
危険性のある運用に対しては、UM8000にて下記の対策を施すことにより、防止効果が期待できます。
- 通信機能の一部停止
- パスワード管理強化
5. 更新履歴
2020年 7月31日 この脆弱性情報を公開しました。
6. 連絡先
お客様のシステムが本件に該当するか否かのご確認、および該当する場合のご対応につきましては、販売店へお問い合わせください。
その他、対象製品に関する情報につきましては、弊社ホームページの「お問い合わせ」もしくは下記へお問い合わせください。
UNIVERGEインフォメーションセンター
電話:0120-75-7400(平日9時-17時(12時-13時除く)、土曜・日曜・祝日・その他NEC休日除く)