NECプラットフォームズ
サイト内の現在位置
脆弱性について:UNIVERGE SV9500/SV8500シリーズ
2021年 1月18日
日本電気株式会社
NECプラットフォームズ株式会社
1. 概要
UNIVERGE SV9500/SV8500シリーズにおいて、脆弱性が確認されました。
今回発見された脆弱性に対して悪意ある第三者から攻撃された場合、システムの運用が停止させられるなどの危険性があります。
つきましては、以下の内容をご確認の上、適宜ご対応いただきたく宜しくお願い申し上げます。
2. 対象製品
| 製品名 | 該当バージョン | 出荷開始時期 |
|---|---|---|
| UNIVERGE SV9500 | V1~V7 | 2013/11~2019/6 |
| UNIVERGE SV8500 | S6~S8 | 2012/6~2014/7 |
3. 脆弱性の説明
3.1 脆弱性の内容
SV9500/SV8500システムのTelephony Server Maintenance Menu(保守用Webコンソール。以下、TSMM)によるリモート保守機能において、ネットワーク接続を介し非常に特殊な手順でTSMMへ接続操作を行った場合、任意の管理者になりすましSV9500/SV8500システムの機能の一部を不正に制御される可能性がございます。
脆弱性の詳細については、下記のJPCERT/CCと情報処理推進機構が共同で管理している脆弱性情報識別番号(JVN)、および米 MITRE 社が提供する共通脆弱性識別子(CVE)にて一般公開されております。
脆弱性情報識別番号:JVN#38784555
共通脆弱性識別子 :CVE-2020-5685、CVE-2020-5686
(https://jvn.jp/jp/JVN38784555/)
3.2 本脆弱性がもたらすリスク
TSMMが提供しているリモート保守機能を悪用されることによるリスクがあります。
-
システムのネットワーク設定を変更することで、システムの運用が停止される可能性があります。
-
システムの運用系の切り替え、シャットダウン、再起動することで、システムの運用が停止される可能性があります。
-
システムを介して、システムが接続しているLAN上の他のネットワーク機器へアクセスされる可能性があります。
3.3 運用形態による危険性の差異
本脆弱性は、TSMMのリモート保守機能を悪用するものであり、SV9500/SV8500システムのネットワーク接続の運用形態が以下の条件に合致する場合にリスクがあります。
危険性のある運用
-
インターネット上からTSMMへアクセスが可能な運用
-
イントラネット上の不特定のPCからTSMMへアクセスが可能な運用
-
不特定の者が保守用PCを操作可能な運用
4. 対策方法
本件に対して、下記の対策を講じていただくことにより運用上の影響リスク回避に繋がりますので、対応の程、お願い申し上げます。
- インターネット等の外部ネットワークへSV9500/SV8500システムを直接接続しない
- SV9500/SV8500システムを外部ネットワークへ接続する場合はDMZ(ルータ、ファイアウォール等)を設置しTSMMへのアクセスを制限する
- VPN等で外部ネットワークからTSMMへ接続する場合は、VPN接続用のアカウント・パスワードの管理に注意してください(パスワードの強度など)
- イントラネット上のPC等からTSMMへのアクセスについて、ネットワーク機器などを利用してアクセス制限を適切に行ってください。(接続可能端末の制限など)
- SV9500/SV8500システムの保守用PCが不正に使用されないよう利用管理の徹底
なお、JVN公開情報ではソフトウェア・アップデートによる対策について記載がありますが、上記対策を講じていただくことでTSMMへの不正なアクセスは回避されるため、ソフトウェアのアップデートは原則必要ございません。
ただし、ネットワーク構成の都合などにより、万一上記対策を講じることが困難な場合には、ソフトウェアのアップデートによる対策について販売店へご相談ください。
5. 更新履歴
2021年 1月 4日 この脆弱性情報を公開しました。
2021年 1月18日 JVNへのリンクを記載しました。「4.対策方法について」追記しました。
6. 連絡先
お客様のシステムが本件に該当するか否かのご確認、および該当する場合のご対応につきましては、販売店へお問い合わせください。
その他、対象製品に関する情報につきましては、弊社ホームページの「お問い合わせ」もしくは下記へお問い合わせください。
UNIVERGEインフォメーションセンター
電話:0120-75-7400(平日9時-17時(12時-13時除く)、土曜・日曜・祝日・その他NEC休日除く)