日本NEC是全球IT、通信网络的领先供应商之一,也是全球500强企业之一。NEC主要从事IT服务、平台业务、运营商网络、社会基础设施、个人解决方案等产品的研发、集群软件、生产和销售,产品多达15000多种.NEC在全球150多个国家和地区开展业务,融合先进的信息技术和网络技术,向政府、企业及个人提供卓越的综合解决方案。
不过7月30日,NEC被爆其通信产品和解决方案中存在大量安全漏洞,旗下多款通信服务器和电话交换机纷纷中招,或将影响所有中小企业及政府。需要注意的是,被爆出的这些漏洞去年就一直存在。
以下是漏洞详情:
1.CVE-2019-20025:静态用户身份验证凭据提供了制造商级别的Web配置实用程序访问权限。
CVSS评分:9.8(严重)
NEC SV9100是日本电气(NEC)公司的一套统一通信解决方案,其IP通信服务器UNIVERGE SV9100 是功能丰富的统一通信功能系统,成千上万的中小型企业在使用.某些特定版本的SV9100软件可能允许未经身份验证的远程攻击者使用硬编码的用户名和密码(也称为静态证书漏洞)登录到运行受影响版本的设备。该漏洞是由于具有制造商特权级别的未记录用户帐户引起的。攻击者可以通过使用此帐户远程登录受影响的设备来利用此漏洞。成功利用此漏洞可能使攻击者可以使用制造商级别的访问权限登录设备。此漏洞影响运行软件版本6.0或更高版本的SV9100 PBX。此漏洞不会影响6.0之前的SV9100软件版本。
2.CVE-2019-20026:可从非特权上下文访问密码重置功能。
SV9100软件7.0或更高版本中的WebPro界面允许未经身份验证的远程攻击者通过精心设计的请求将所有现有的用户名和密码重置为默认值。
CVSS评分:9.8(严重)
CVE-2019-20027:潜在配置错误的系统可能允许使用空白凭据的成功身份验证。
Aspir(电话系统)衍生产品NEC PBX交换机,包括带有软件版本的SV8100,SV9100,SL1100和SL2100,如果配置不当,可能允许输入空白的用户名和密码组合作为有效的成功身份验证帐户。
CVSS评分:6.4(中)
3.CVE-2019-20028:无需身份验证即可从Web服务器访问语音邮件
运行InMail软件(包括SV8100,SV9100,SL1100和SL2100)的Aspire衍生产品NEC PBX允许通过系统的WebPro管理界面对语音邮件,问候语和语音响应系统内容进行未经身份验证的只读访问。
CVSS评分:7.5(高)
4.CVE-2019-20029:特权升级允许在Web配置实用程序中进行隐藏的开发人员访问。
源自Aspire的NEC PBX的WebPro功能中存在一个可利用的特权升级漏洞,受影响产品及版本包括SV8100,SV9100,SL1100和SL2100。特制的HTTP POST可能导致特权升级,从而导致特权帐户更高,包括未记录的开发人员访问权限。
CVSS评分:8.8(高)
5.CVE-2019-20030:能够通过语音邮件系统访问本地网络。
NEC UM8000(一款语音信箱解决方案)中存在安全漏洞。NEC UM8000语音邮件系统上调制解调器访问号的攻击者可以使用SSH隧道或标准Linux实用程序来访问系统的LAN端口。
CVSS评分:10.0(严重)
6.CVE-2019-20031:对语音邮件密码进行暴力攻击的风险得到了缓解。
具有所有已知软件版本的NEC UM8000,UM4730和以前的非InMail语音邮件系统可能允许在电话用户界面(TUI)中进行无数次登录尝试,从而有效地进行了蛮力攻击。
CVSS评分:7.7(高)
7.CVE-2019-20032:"查找我/跟随我""功能允许从任何语音信箱访问调制解调器接口
攻击者可以访问Aspire派生的NEC PBX(包括SV8100,SV9100,SL1100和SL2100)上配备了“查找/跟随我”功能的InMail语音信箱的攻击者,可以访问系统的管理调制解调器。
CVSS评分:7.1(高)
8.CVE-2019-20033:建立PPP连接后可访问的DIM接口具有静态用户身份验证凭据。
在Aspire衍生产品NEC PBX(包括SV8100)上,可以使用一组文档化的静态登录凭证来访问DIM接口。
CVSS评分:9.8(严重)
漏洞修复
目前NEC公司暂未发布修复措施解决此安全问题,建议使用此通信解决方案的用户随时关注NEC主页或参考网址以获取解决办法:
https://www.nec.com/