サイト内の現在位置

脆弱性について:UNIVERGE DT900/DT800

2021年12月17日
NEC プラットフォームズ株式会社

1. 概要

UNIVERGE IP Phone DTシリーズ(以下、IP多機能電話機)および保守管理用PCツール(以下、IP Phone Manager、データメンテナンスツール) に関して、脆弱性が判明いたしました。

つきましては、下記に記載する情報をご確認いただき、対策を講じていただきますようご協力の程よろしくお願いいたします。

2. 対象製品

製 品 モデル バージョン Lot番号
IP多機能電話機DT900シリーズ(DT930)
  • ITK-12CG-1D(WH/BK)TEL
  • ITK-24CG-1D(WH/BK)TEL
  • ITK-32CG-1D(WH)TEL
  • ITK-32TCG-1D(WH/BK)TEL
1.0.0.0 ~ 2.4.0.0
  • 12CG/24CG/32CG ****A*-G ~ ****L*-G
  • 32TCG ****A*-G ~ ****F*-G
IP多機能電話機DT900シリーズ(DT920)
  • ITK-6DG-1D(WH/BK)TEL
  • ITK-32LCG-1D(WH/BK)TEL
1.0.0.0 ~ 2.4.0.0
  • ****A*-G ~ ****E*-G
IP多機能電話機DT800シリーズ(DT830)
  • ITZ-12D-2D(WH/BK)TEL
  • ITZ-24D-2D(WH/BK)TEL
  • ITZ-32D-2D(WH)TEL
  • ITZ-32DLK-2D(WH)TEL
  • ITZ-24DG-2D(WH/BK)TEL
  • ITZ-24CG-2D(WH/BK)TEL
  • ITZ-24PAG-2D(WH)TEL
  • ITZ-24PDG-2D(WH)TEL
  • ITZ-24PA-2D(WH)TEL
  • ITZ-24PD-2D(WH)TEL
1.0.0.0 ~ 5.2.7.0
  • ****A*-G ~ ****T*-G
IP Phone Manager 1.0.0 ~ 8.9.1
データメンテナンスツール DT800シリーズ用 3.0.0.0 ~ 4.2.0.0
DT900シリーズ用 5.0.0.0 ~ 5.3.0.0

3. 脆弱性の説明

3.1 脆弱性の内容

IP電話機及びIP Phone Manager、データメンテナンスツールには情報漏えいとなる脆弱性が存在します。

脆弱性の詳細については、下記のJPCERT/CCと情報処理推進機構が共同で管理している脆弱性情報識別番号(JVN)、および米 MITRE 社が提供する共通脆弱性識別子(CVE)にて一般公開されております。

脆弱性情報識別番号:JVN#13464252 (new windowhttps://jvn.jp/jp/JVN13464252/
共通脆弱性識別子 :CVE-2021-44746

3.2 本脆弱性がもたらす脅威

悪意のある第三者が社内ネットワーク上(※1)で、IP Phone Manager/データメンテナンスツール利用中の通信パケットキャプチャをして解析を行った場合、IP多機能電話機の設定情報(※2)が漏洩してしまう可能性があります。

不正に入手したIP多機能電話機の設定情報が悪用され、改竄された場合にはIP多機能電話機が使用できなくなる可能性があります。

  • ※1
    「社内ネットワーク」とは、社内でIP電話機を収容しているイントラネットを指します。なお、IP多機能電話機はインターネット(以下、社外ネットワーク)と直接接続される機器では無いため、社外ネットワークを経由し本脆弱性の影響を受けることはありません。
  • ※2
    設定情報には、モデル名、FWバージョン、IPアドレス、MACアドレス等があります。

3.3 運用形態による危険性の差異

本脆弱性は、IP Phone Manager/データメンテナンスツール利用時に問題となるものです。IP Phone Manager/データメンテナンスツールを利用していない場合は影響ありません。

危険性のある運用

悪意のある第三者が、社内ネットワーク上でIP Phone Manager/データメンテナンスツール利用中の通信パケットをキャプチャ可能な環境下での運用。

4. 対策方法

4.1 回避策

次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

悪意のある第三者が社内ネットワーク上で通信データのパケットキャプチャを行わない限り、設定情報が漏洩することはありません。従いまして、以下を実施頂くことで影響を回避することができます。

  1. お客様社内ネットワークの運用管理を適切に行っていただく
    悪意のある第三者によって、社内ネットワーク上で通信データの採取等が行われないよう、適切に運用・管理を行っていただく様にお願いします。
  2. IP Phone Manager/データメンテナンスツールの利用管理を行っていただく
    IP Phone Manager/データメンテナンスツールは保守以外の用途で利用するものではありませんが、お客様管理の保守対応用PC等にインストールされている場合には、保守以外の用途で利用されないように、利用目的・実績の管理を行っていただく様にお願いします。
  • 今後出荷されるIP多機能電話機(修理品含む)は、セキュリティ強化ソフトウェアが適用されます。つきましては、IP多機能電話機にセキュリティ強化ソフトウェアを適用しない場合でも、IP Phone Manager/データメンテナンスツールはセキュリティ強化品をご使用願います。

4.2 ソフトウェアについて

運用を見直していただいたうえでさらにセキュリティを強固にするためのソフトウェアも提供しております。運用の確認および本ソフトウェアについては、販売店へお問い合わせください。

5. 更新履歴

2021年12月17日 この脆弱性情報を公開しました

6. 連絡先

お客様の環境が本件に該当するか否かのご確認、および該当する場合のご対応につきましては、販売店へお問い合わせください。

その他、対象製品に関する情報につきましては、弊社ホームページの「お問い合わせ」もしくは下記へお問い合わせください。

UNIVERGEインフォメーションセンター
電話:0120-75-7400(平日9:00~12:00、13:00~17:00)