原標題:NEC爆出大量安全漏洞,或將影響所有中小企業及政府!

  日本NEC是全球IT、通信網絡的領先供應商之一,也是全球500強企業之一。NEC主要從事IT服務、平臺業務、運營商網絡、社會基礎設施、個人解決方案等產品的研發、集群軟件、生產和銷售,產品多達15000多種.NEC在全球150多個國家和地區開展業務,融合先進的信息技術和網絡技術,向政府、企業及個人提供卓越的綜合解決方案。

  不過7月30日,NEC被爆其通信產品和解決方案中存在大量安全漏洞,旗下多款通信服務器和電話交換機紛紛中招,或將影響所有中小企業及政府。需要注意的是,被爆出的這些漏洞去年就一直存在。

  以下是漏洞詳情:

  1.CVE-2019-20025:靜態用戶身份驗證憑據提供了制造商級別的Web配置實用程序訪問權限。

  CVSS評分:9.8(嚴重)

  NEC SV9100是日本電氣(NEC)公司的一套統一通信解決方案,其IP通信服務器UNIVERGE SV9100 是功能豐富的統一通信功能系統,成千上萬的中小型企業在使用.某些特定版本的SV9100軟件可能允許未經身份驗證的遠程攻擊者使用硬編碼的用戶名和密碼(也稱為靜態證書漏洞)登錄到運行受影響版本的設備。該漏洞是由于具有制造商特權級別的未記錄用戶帳戶引起的。攻擊者可以通過使用此帳戶遠程登錄受影響的設備來利用此漏洞。成功利用此漏洞可能使攻擊者可以使用制造商級別的訪問權限登錄設備。此漏洞影響運行軟件版本6.0或更高版本的SV9100 PBX。此漏洞不會影響6.0之前的SV9100軟件版本。

  2.CVE-2019-20026:可從非特權上下文訪問密碼重置功能。

  SV9100軟件7.0或更高版本中的WebPro界面允許未經身份驗證的遠程攻擊者通過精心設計的請求將所有現有的用戶名和密碼重置為默認值。

  CVSS評分:9.8(嚴重)

  3.CVE-2019-20027:潛在配置錯誤的系統可能允許使用空白憑據的成功身份驗證。

  Aspir(電話系統)衍生產品NEC PBX交換機,包括帶有軟件版本的SV8100,SV9100,SL1100和SL2100,如果配置不當,可能允許輸入空白的用戶名和密碼組合作為有效的成功身份驗證帳戶。

  CVSS評分:6.4(中)

  4.CVE-2019-20028:無需身份驗證即可從Web服務器訪問語音郵件

  運行InMail軟件(包括SV8100,SV9100,SL1100和SL2100)的Aspire衍生產品NEC PBX允許通過系統的WebPro管理界面對語音郵件,問候語和語音響應系統內容進行未經身份驗證的只讀訪問。

  CVSS評分:7.5(高)

  5.CVE-2019-20029:特權升級允許在Web配置實用程序中進行隱藏的開發人員訪問。

  源自Aspire的NEC PBX的WebPro功能中存在一個可利用的特權升級漏洞,受影響產品及版本包括SV8100,SV9100,SL1100和SL2100。特制的HTTP POST可能導致特權升級,從而導致特權帳戶更高,包括未記錄的開發人員訪問權限。

  CVSS評分:8.8(高)

  6.CVE-2019-20030:能夠通過語音郵件系統訪問本地網絡。

  NEC UM8000(一款語音信箱解決方案)中存在安全漏洞。NEC UM8000語音郵件系統上調制解調器訪問號的攻擊者可以使用SSH隧道或標準Linux實用程序來訪問系統的LAN端口。

  CVSS評分:10.0(嚴重)

  7.CVE-2019-20031:對語音郵件密碼進行暴力攻擊的風險得到了緩解。

  具有所有已知軟件版本的NEC UM8000,UM4730和以前的非InMail語音郵件系統可能允許在電話用戶界面(TUI)中進行無數次登錄嘗試,從而有效地進行了蠻力攻擊。

  CVSS評分:7.7(高)

  8.CVE-2019-20032:"查找我/跟隨我''功能允許從任何語音信箱訪問調制解調器接口

  攻擊者可以訪問Aspire派生的NEC PBX(包括SV8100,SV9100,SL1100和SL2100)上配備了“查找/跟隨我”功能的InMail語音信箱的攻擊者,可以訪問系統的管理調制解調器。

  CVSS評分:7.1(高)

  9.CVE-2019-20033:建立PPP連接后可訪問的DIM接口具有靜態用戶身份驗證憑據。

  在Aspire衍生產品NEC PBX(包括SV8100)上,可以使用一組文檔化的靜態登錄憑證來訪問DIM接口。

  CVSS評分:9.8(嚴重)

  漏洞修復

  目前NEC公司暫未發布修復措施解決此安全問題,建議使用此通信解決方案的用戶隨時關注NEC主頁或參考網址以獲取解決辦法