JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は1月4日、「JVN#38784555: UNIVERGE SV9500/SV8500 シリーズにおける複数の脆弱性」において、NECプラットフォームズが提供するIPネットワークソリューションの「UNIVERGE SV9500シリーズ」および「UNIVERGE SV8500シリーズ」に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、リモート保守機能を用いて、任意のコマンド実行やサービス拒否(DoS)攻撃、機密情報の窃取などが行われる危険性があるという。

今回報告された脆弱性に関する情報はそれぞれ次のページにまとめられている。

いずれも「保守用 Web コンソール」によるリモート保守機能における脆弱性であり、リモートからの攻撃に悪用される恐れがある。CWE-78はOSコマンドインジェクションの脆弱性で、攻撃者によってOS上で任意のコマンドが実行される可能性がある。CWE-303は認証アルゴリズムの実装不備に起因する脆弱性で、悪用されると認証が回避されて保守機能に不正にアクセスされ、内部の情報が窃取される可能性がある。

影響を受ける製品およびバージョンは次のとおり。

  • UNIVERGE SV9500 シリーズ V1 から V7 までのバージョン
  • UNIVERGE SV8500 シリーズ S6 から S8 までのバージョン

脆弱性の深刻度を示すCVSS v3のスコアは、CWE-78が9.6で「緊急」、CWE-303が7.6で「重要」となっている。すでにNECプラットフォームズより修正が行われた最新版がリリースされており、アップデートすることで問題を回避することができる。

  • JVN#38784555: UNIVERGE SV9500/SV8500 シリーズにおける複数の脆弱性

    JVN#38784555: UNIVERGE SV9500/SV8500 シリーズにおける複数の脆弱性