CISA 警告 GE 电源管理设备存在安全漏洞

sugar 2021-03-23
专栏 - 资讯 发布于 2021-03-23 10:40:23 阅读 88 评论 0

这些漏洞可能使攻击者可以访问敏感信息,重新启动UR,获得特权访问或导致拒绝服务情况。

美国网络安全与基础设施安全局(CISA)警告通用电气(GE)的通用继电器(UR)系列电源管理设备中存在严重的安全漏洞。

该公司表示,GE的UR设备是“简化电源管理以保护关键资产的基础”。这些是允许用户控制各种设备消耗的电功率量的计算设备。UR设备允许基础设备切换到各种电源模式(每个设备都具有各种电源使用特性)。GE已针对以下受影响的UR设备系列发布了补丁程序:B30,B90,C30,C60,C70,C95,D30,D60,F35,F60,G30,G60,L30,L60,L90,M60,N60,T35和T60。

CISA警告说,如果不进行更新,则可能利用受影响的产品来使攻击者访问敏感信息,重新启动UR,获得特权访问或导致拒绝服务情况。
鉴于设备控制着电源的流向和方向,这些漏洞的影响会更大:“ GE强烈建议固件版本受影响的用户将其UR设备更新为UR固件版本8.10或更高版本,以解决这些漏洞。” CISA上周的警报。

GE安全漏洞

总体而言,在受影响的设备上修补了九个漏洞。其中最严重的(CVE-2021-27426)的CVSS评分为9.8(满分10分),非常严重。该漏洞源于不安全的默认变量初始化。根据IBM安全警报,受影响的GE UR系列可以允许远程攻击者绕过安全限制,这是由于UR智能电子设备(IED)组件中的默认变量初始化不安全所致。

IBM说:“通过发送特制请求,攻击者可以利用此漏洞绕过访问限制。” 据GE称,该漏洞可以远程利用,并且需要“较低的技术水平才能利用”。

另一个高度严重的问题(CVE-2021-27430)源自以下事实:版本7.00、7.01和7.02中的UR引导加载程序二进制文件包含硬编码的凭据。根据IBM的说法,本地攻击者可以利用此漏洞通过重新启动UR来中断启动顺序。缺陷在CVSS级别上排名8.4,使其具有很高的严重性。

CISA说:“此外,对UR IED具有物理访问权限的用户可以通过重新启动UR来中断启动顺序。”

研究人员说,另一个高度严重的问题(CVE-2021-27422)是UR上通过HTTP协议支持受影响设备的Web服务器接口–无需身份验证即可暴露敏感信息。

最后,研究人员发现,受影响的UR系列的基于Web的UR设置配置工具(CVE-2021-27428)中的漏洞可能使远程攻击者可以上传任意文件。

根据IBM的通报,“通过发送特制的请求,远程攻击者可以利用此漏洞来升级固件而没有适当的特权”。

安全更新:立即修补

据报道,这些漏洞最早是在7月发现的-解决该漏洞的UR固件版本(版本8.10)于12月24日推出。 Industrial和VuMetric向GE报告了这些缺陷。

但是,在上周公开披露了这些漏洞之后,CISA现在敦促最终用户更新其UR设备。CISA指出,尚未发现已知的安全漏洞。

根据CISA的警告,“ GE建议使用深度网络防御措施来保护UR IED。” “这包括但不限于将UR IED放置在控制系统网络安全范围内,并具有访问控制,监视(例如入侵检测系统)和其他缓解技术。”

GE以前曾处理过安全问题。去年12月,在医院流行的数十种GE Healthcare放射设备中发现了一对严重漏洞,攻击者可能会利用这些漏洞访问敏感的个人健康信息(PHI),更改数据,甚至关闭机器的可用性。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!