CISA 警告 GE 电源管理设备存在安全漏洞

这些漏洞可能使攻击者可以访问敏感信息，重新启动UR，获得特权访问或导致拒绝服务情况。

美国网络安全与基础设施安全局（CISA）警告通用电气（GE）的通用继电器（UR）系列电源管理设备中存在严重的安全漏洞。

该公司表示，GE的UR设备是“简化电源管理以保护关键资产的基础”。这些是允许用户控制各种设备消耗的电功率量的计算设备。UR设备允许基础设备切换到各种电源模式（每个设备都具有各种电源使用特性）。GE已针对以下受影响的UR设备系列发布了补丁程序：B30，B90，C30，C60，C70，C95，D30，D60，F35，F60，G30，G60，L30，L60，L90，M60，N60，T35和T60。

CISA警告说，如果不进行更新，则可能利用受影响的产品来使攻击者访问敏感信息，重新启动UR，获得特权访问或导致拒绝服务情况。
鉴于设备控制着电源的流向和方向，这些漏洞的影响会更大：“ GE强烈建议固件版本受影响的用户将其UR设备更新为UR固件版本8.10或更高版本，以解决这些漏洞。” CISA上周的警报。

GE安全漏洞

总体而言，在受影响的设备上修补了九个漏洞。其中最严重的（CVE-2021-27426）的CVSS评分为9.8（满分10分），非常严重。该漏洞源于不安全的默认变量初始化。根据IBM安全警报，受影响的GE UR系列可以允许远程攻击者绕过安全限制，这是由于UR智能电子设备（IED）组件中的默认变量初始化不安全所致。

IBM说：“通过发送特制请求，攻击者可以利用此漏洞绕过访问限制。” 据GE称，该漏洞可以远程利用，并且需要“较低的技术水平才能利用”。

另一个高度严重的问题（CVE-2021-27430）源自以下事实：版本7.00、7.01和7.02中的UR引导加载程序二进制文件包含硬编码的凭据。根据IBM的说法，本地攻击者可以利用此漏洞通过重新启动UR来中断启动顺序。缺陷在CVSS级别上排名8.4，使其具有很高的严重性。

CISA说：“此外，对UR IED具有物理访问权限的用户可以通过重新启动UR来中断启动顺序。”

研究人员说，另一个高度严重的问题（CVE-2021-27422）是UR上通过HTTP协议支持受影响设备的Web服务器接口–无需身份验证即可暴露敏感信息。

最后，研究人员发现，受影响的UR系列的基于Web的UR设置配置工具（CVE-2021-27428）中的漏洞可能使远程攻击者可以上传任意文件。

根据IBM的通报，“通过发送特制的请求，远程攻击者可以利用此漏洞来升级固件而没有适当的特权”。

安全更新：立即修补

据报道，这些漏洞最早是在7月发现的-解决该漏洞的UR固件版本（版本8.10）于12月24日推出。 Industrial和VuMetric向GE报告了这些缺陷。

但是，在上周公开披露了这些漏洞之后，CISA现在敦促最终用户更新其UR设备。CISA指出，尚未发现已知的安全漏洞。

根据CISA的警告，“ GE建议使用深度网络防御措施来保护UR IED。” “这包括但不限于将UR IED放置在控制系统网络安全范围内，并具有访问控制，监视（例如入侵检测系统）和其他缓解技术。”

GE以前曾处理过安全问题。去年12月，在医院流行的数十种GE Healthcare放射设备中发现了一对严重漏洞，攻击者可能会利用这些漏洞访问敏感的个人健康信息（PHI），更改数据，甚至关闭机器的可用性。