サイト内の現在位置
脆弱性について:UNIVERGE Aspireシリーズ用内蔵ルータユニット「IP8D-RTU-A1」および「IP5D-RTU-B1」
2025年3月31日
NEC プラットフォームズ株式会社
1. 概要
UNIVERGE Aspire WX / WX plusおよびAspire UXで使用している内蔵ルータユニットのWebコンソール機能においてコマンドインジェクションおよびクロスサイトリクエストフォージェリの脆弱性が存在することが判明いたしました。
つきましては、下記に記載する情報をご確認いただき、対策を講じていただきますようご協力の程よろしくお願いいたします。
2. 対象製品
| 品名 | 対象バージョン |
|---|---|
| IP8D-RTU-A1 |
|
| IP5D-RTU-B1 |
|
3. 脆弱性の説明
3.1 脆弱性の内容
内蔵ルータユニットはUNIVERGE IXルータの技術を使用しており、IXルータにて下記URLで通知されている、脆弱性の内容と同一です。
https://jpn.nec.com/univerge/ix/Support/Security-Info/JVN/JVN53958863.html4. 対策方法
4.1 回避策
内蔵ルータユニットに対し、以下のいずれかの方法で回避してください。
- 脆弱性対処版ソフトウェアへバージョンアップする。※ IP8D-RTU-A1のみ可能
- Webコンソールを使用せず、コマンドラインベースで管理する。
no http-server ip enable を投入
上記の回避策を適用できない場合、内蔵ルータユニットで以下のいずれかの方法で本脆弱性を軽減させてください。
- フィルタ機能により、接続元をIPアドレス、MACアドレスで制限する。
- 対象装置のIPアドレスを変更し、かつTCPポート:80または443のポート番号を予想されにくい番号に変更する。
- Webコンソールにアクセスするguest権限のユーザを登録することにより、すべての画面表示に認証を必要とさせる。
4.2 対処版ソフトウェア
- IP8D-RTU-A1
Ver.10.9.22
運用の確認および本ソフトウェアについては、販売店へお問い合わせください。
5. 更新履歴
2025 年 3月31日 この脆弱性情報を公開しました。
6. 連絡先
お客様のシステムが本件に該当するか否かのご確認、および該当する場合のご対応につきましては、販売店へお問い合わせください。
その他、対象製品に関する情報につきましては、弊社ホームページの「お問い合わせ」からお問い合わせください。