サイト内の現在位置

リモート保守に関する脆弱性について: Aspireシリーズ

2021年 3月22日
NEC プラットフォームズ株式会社

1. 概要

UNIVERGE AspireWX/AspireUXにおいて、脆弱性が確認されました。

今回発見された脆弱性に対して悪意ある第三者から攻撃された場合、システムの運用が停止させられる危険性があります。

つきましては、以下の内容をご確認の上、適宜ご対応いただきたく宜しくお願い申し上げます。

2. 対象製品

品 名 対象バージョン 出荷時期
Aspire WX 1.00 ~ 3.51 2018年 8月
Aspire UX 1.00 ~ 9.70 2013年 9月

3. 脆弱性の説明

3.1 脆弱性の内容

リモート保守機能*1 において、専門的な技術スキルを持つ悪意ある第三者が、ネットワーク接続を介し不正なコマンドを送り込むことでAspireが運用停止される可能性がございます。

  • *1
    本ページに記載の「リモート保守機能」とは、メーカーの保守作業者が使用する特別な保守機能を指します。通常用途では使用しません。

脆弱性の詳細については、下記のJPCERT/CCと情報処理推進機構が共同で管理している脆弱性情報識別番号(JVN)、および米 MITRE 社が提供する共通脆弱性識別子(CVE)にて一般公開されております。

 脆弱性情報識別番号:JVN#12737530
 共通脆弱性識別子 :CVE-2021-20677
 (https://jvn.jp/jp/JVN12737530/)

3.2 本脆弱性がもたらす脅威

リモート保守機能を悪用されることによるリスクがあります。

  2. 不正なコマンド実行により、システムの運用が停止される可能性があります。

3.3 運用形態による危険性の差異

本脆弱性は、リモート保守機能を悪用するものです。

ネットワークに接続せず運用されている場合には影響ありません。

本リモート保守機能はメーカーの保守作業者が利用するもので通常は使用しません。

  • リモート保守機能は初期設定では無効となっています。

4. 対策方法

4.1 回避策

危険性のある運用に対して見直しを行っていただくことで防止効果が期待できます。

  1. Aspireシリーズ側での対策  
    • リモート保守機能の無効化
      ※ リモート保守機能は初期設定では無効となっています。
  2. ネットワーク側の対策
    • インターネット等の外部ネットワークへAspireシリーズを直接接続しない
    • Aspireシリーズを外部ネットワークへ接続する場合はDMZ(ルータ、ファイアウォール等)を設置しアクセスを制限する
    • イントラネット上のPC等からAspireシリーズへのアクセスについて、ネットワーク機器などを利用してアクセス制限を適切に行ってください。(接続可能端末の制限など)
    • Aspireシリーズの保守用PCが不正に使用されないよう利用管理の徹底

4.2 ソフトウェアについて

なお、JVN公開情報ではソフトウェア・アップデートによる対策について記載がありますが、上記対策を講じていただくことでリモート保守機能を悪用した不正なアクセスは回避されるため、ソフトウェアのアップデートは原則必要ございません。

運用を見直していただいたうえでさらにセキュリティを強固にするためのソフトウェアも提供しております。運用の確認および本ソフトウェアについては、お客様が購入いただいた販売店へお問い合わせください。

5. 更新履歴

2021 年 3月22日 この脆弱性情報を公開しました。

6. 連絡先

お客様のシステムが本件に該当するか否かのご確認、および該当する場合のご対応につきましては、販売店へお問い合わせください。

その他、対象製品に関する情報につきましては、弊社ホームページの「お問い合わせ」もしくは下記へお問い合わせください。

キーテレフォンインフォメーションセンター
電話:042-716-9793(平日9時-17時(12時-13時除く)、土曜・日曜・祝日・その他弊社休日は除く)