サイト内の現在位置

UNIVERGE DTシリーズにおける重要なデータに対する暗号化の欠如の脆弱性

掲載番号:NV21-021
脆弱性情報識別番号:CVE-2021-44746

概要

UNIVERGE IP Phone DTシリーズおよびDTシリーズ用保守者向けPCツールには、重要なデータに対する暗号化欠如の脆弱性が存在します。

対象製品

UNIVERGE DTシリーズ

影響の有無

影響あり

対象となる製品のバージョン

UNIVERGE IP Phone DT900 シリーズ(DT930)
 日本モデル
  ITK-12CG-1D(WH/BK)TEL V2.4.0.0 およびそれ以前
  ITK-24CG-1D(WH/BK)TEL V2.4.0.0 およびそれ以前
  ITK-32CG-1D(WH)TEL V2.4.0.0 およびそれ以前
  ITK-32TCG-1D(WH/BK)TEL V2.4.0.0 およびそれ以前
 北米モデル
  ITK-24CG-1(WH/BK)TEL V2.4.0.0 およびそれ以前
  ITK-8TCGX-1(BK)TEL V2.4.0.0 およびそれ以前
 豪州モデル
  ITK-24CG-1A(BK)TEL V2.4.0.0 およびそれ以前
  ITK-32TCG-1A(BK)TEL V2.4.0.0 およびそれ以前
 欧州モデル(EMEA・ASIA)
  ITK-24CG-1P(WH/BK)TEL V2.4.0.0 およびそれ以前
  ITK-8TCGX-1P(BK)TEL V2.4.0.0 およびそれ以前
  ITK-32TCGX-1P(BK)TEL V2.4.0.0 およびそれ以前
 中国モデル
  ITK-24CG-1U(WH/BK)TEL V2.4.0.0 およびそれ以前

UNIVERGE IP Phone DT900 シリーズ(DT920)
 日本モデル
  ITK-6DG-1D(WH/BK)TEL V2.4.0.0 およびそれ以前
  ITK-12DG-1D(WH)TEL(R) V2.4.0.0 およびそれ以前
  ITK-32LCG-1D(WH/BK)TEL V2.4.0.0 およびそれ以前
 北米モデル
  ITK-6D-1(BK)TEL V2.4.0.0 およびそれ以前
  ITK-12D-1(BK)TEL V2.4.0.0 およびそれ以前
  ITK-8LCX-1(BK)TEL V2.4.0.0 およびそれ以前
 豪州モデル
  ITK-6DG-1A(BK)TEL V2.4.0.0 およびそれ以前
  ITK-32LCG-1A(BK)TEL V2.4.0.0 およびそれ以前
 欧州モデル(EMEA・ASIA)
  ITK-6D-1P(BK)TEL V2.4.0.0 およびそれ以前
  ITK-6DG-1P(BK)TEL V2.4.0.0 およびそれ以前
  ITK-12D-1P(BK)TEL V2.4.0.0 およびそれ以前
  ITK-12DG-1P(BK)TEL V2.4.0.0 およびそれ以前
  ITK-8LCX-1P(BK)TEL V2.4.0.0 およびそれ以前
  ITK-8LCG-1P(BK)TEL V2.4.0.0 およびそれ以前
  ITK-32LCG-1P(BK)TEL V2.4.0.0 およびそれ以前
 中国モデル
  ITK-6D-1U(BK)TEL V2.4.0.0 およびそれ以前
  ITK-6DG-1U(BK)TEL V2.4.0.0 およびそれ以前
  ITK-12D-1U(BK)TEL V2.4.0.0 およびそれ以前
  ITK-12DG-1U(BK)TEL V2.4.0.0 およびそれ以前

UNIVERGE IP Phone DT800 シリーズ(DT830)
 日本モデル
  ITZ-12D-1D(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-24D-1D(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-32D-1D(WH)TEL V5.2.7.0 およびそれ以前
  ITZ-24PA-1D(WH)TEL V5.2.7.0 およびそれ以前
  ITZ-24PD-1D(WH)TEL V5.2.7.0 およびそれ以前
  ITZ-12D-2D(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-24D-2D(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-32D-2D(WH)TEL V5.2.7.0 およびそれ以前
  ITZ-24PA-2D(WH)TEL V5.2.7.0 およびそれ以前
  ITZ-24PD-2D(WH)TEL V5.2.7.0 およびそれ以前
  ITZ-24DG-2D(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-24CG-2D(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-24PAG-2D(WH)TEL V5.2.7.0 およびそれ以前
  ITZ-24PDG-2D(WH)TEL V5.2.7.0 およびそれ以前
  ITZ-32DLK-2D(WH)TEL V5.2.7.0 およびそれ以前
 北米モデル
  ITZ-12D-3(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-24D-3(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-8LD-3(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-8LDG-3(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-12DG-3(BK)TEL V5.2.7.0 およびそれ以前
  ITZ-12CG-3(BK)TEL V5.2.7.0 およびそれ以前
 豪州モデル
  ITZ-24D-3A(BK)TEL V5.2.7.0 およびそれ以前
  ITZ-8LDG-3A(BK)TEL V5.2.7.0 およびそれ以前
  ITZ-24DG-3A(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-24CG-3A(BK)TEL V5.2.7.0 およびそれ以前
 欧州モデル(EMEA・ASIA)
  ITZ-12D-3P(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-24D-3P(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-8LDG-3P(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-12DG-3P(WH/BK)TEL V5.2.7.0 およびそれ以前
  ITZ-12CG-3P(WH/BK)TEL V5.2.7.0 およびそれ以前
 中国モデル
  ITZ-12D-3P(WH/BK)TEL for China V5.2.7.0 およびそれ以前
  ITZ-24D-3P(WH/BK)TEL for China V5.2.7.0 およびそれ以前
  ITZ-8LDG-3P(WH/BK)TEL for China V5.2.7.0 およびそれ以前
  ITZ-12DG-3P(WH/BK)TEL for China V5.2.7.0 およびそれ以前
  ITZ-12CG-3P(WH/BK)TEL for China V5.2.7.0 およびそれ以前

UNIVERGE IP Phone DT800 シリーズ(DT820)
 北米モデル
  ITY-6D-1(BK)TEL V3.2.7.0 およびそれ以前
  ITY-8LDX-1(BK)TEL V3.2.7.0 およびそれ以前
  ITY-8LDX-1(BK)TEL (OpEx) V3.2.7.0 およびそれ以前
  ITY-8LCGX-1(BK)TEL V3.2.7.0 およびそれ以前
 豪州モデル
  ITY-6DG-1A(BK)TEL V3.2.7.0 およびそれ以前
 欧州モデル(EMEA・ASIA)
  ITY-6D-1P(BK)TEL V3.2.7.0 およびそれ以前
  ITY-6DG-1P(BK)TEL V3.2.7.0 およびそれ以前
  ITY-8LDX-1P(BK)TEL V3.2.7.0 およびそれ以前
  ITY-32LDG-1P(BK)TEL V3.2.7.0 およびそれ以前
  ITY-8LCGX-1P(BK)TEL V3.2.7.0 およびそれ以前
  ITY-32LCG-1P(BK)TEL V3.2.7.0 およびそれ以前
 中国モデル
  ITY-6D-1P(BK)TEL for China V3.2.7.0 およびそれ以前
  ITY-6DG-1P(BK)TEL for China V3.2.7.0 およびそれ以前
  ITY-8LDX-1P(BK)TEL for China V3.2.7.0 およびそれ以前
  ITY-32LDG-1P(BK)TEL for China V3.2.7.0 およびそれ以前
  ITY-8LCGX-1P(BK)TEL for China V3.2.7.0 およびそれ以前
  ITY-32LCG-1P(BK)TEL for China V3.2.7.0 およびそれ以前

その他
 保守者向け PC ツール IP Phone Manager V8.9.1 およびそれ以前
 保守者向け PC ツール データメンテナンスツール
  DT800 シリーズ用 V4.2.0.0 およびそれ以前
  DT900 シリーズ用 V5.3.0.0 およびそれ以前

対処方法

以下のページを参考に最新バージョンにアップデートしてください。

脆弱性について:DT900/DT800シリーズ
https://www.necplatforms.co.jp/product/keytelphone/info/aspire/
https://www.necplatforms.co.jp/product/keytelphone/info/sv9300/
https://www.necplatforms.co.jp/product/keytelphone/info/sv9500/

Possibility to eavesdrop on network packets of DT Series
https://www.necplatforms.co.jp/en/product/security_adv/index.html

また、以下の回避策での対処で影響を回避可能です。
 パケットキャプチャ等が行われないように、社内ネットワークを適切に運用・管理する
 IP Phone Manager およびデータメンテナンスツールを保守以外の用途で利用されないように、利用目的・実績を管理する

参考情報

更新情報

2021/12/17
UNIVERGE DTシリーズ を登録しました。