JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月22日、「JVNVU#94900322: Netcommunity OG410XおよびOG810XシリーズにおけるOSコマンドインジェクションの脆弱性」において、NTT東日本およびNTT西日本が提供するVoIPゲートウェイ・事業所向けひかり電話対応アダプタ「Netcommunity OG410Xシリーズ」「Netcommunity OG810Xシリーズ」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって任意のOSコマンドが実行される危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- Netcommunity OG410X810Xシリーズをご利用のお客さまへ|お知らせ|法人のお客さま| NTT東日本
- 【NTT西日本】「Netcommunity OG410X810Xシリーズ」をご利用のお客さまへ - 法人・企業向けICTサービス
-
JVNVU#94900322: Netcommunity OG410XおよびOG810XシリーズにおけるOSコマンドインジェクションの脆弱性
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- NTT東日本 - VoIPゲートウェイ Netcommunity OG410XaファームウェアVer.2.28およびそれより前のバージョン
- NTT東日本 - VoIPゲートウェイ Netcommunity OG410XiファームウェアVer.2.28およびそれより前のバージョン
- NTT東日本 - VoIPゲートウェイ Netcommunity OG810XaファームウェアVer.2.28およびそれより前のバージョン
- NTT東日本 - VoIPゲートウェイ Netcommunity OG810Xi ファームウェアVer.2.28およびそれより前のバージョン
- NTT西日本 - 事業所向けひかり電話対応アダプター Netcommunity OG410XaファームウェアVer.2.28およびそれより前のバージョン
- NTT西日本 - 事業所向けひかり電話対応アダプター Netcommunity OG410XiファームウェアVer.2.28およびそれより前のバージョン
- NTT西日本 - 事業所向けひかり電話対応アダプター Netcommunity OG810XaファームウェアVer.2.28およびそれより前のバージョン
- NTT西日本 - 事業所向けひかり電話対応アダプター Netcommunity OG810Xi ファームウェアVer.2.28およびそれより前のバージョン
脆弱性の深刻度はCVSSv3スコア8.0で「重要」と分析されている。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。
