美国网络安全与基础设施安全局(CISA)通告,通用电气生产的 Universal Relay(UR)系列电源管理设备中存在严重的安全漏洞。
通用电气的 Universal Relay 系列设备是“简化电源管理以保护关键资产的基础”。允许用户控制各种设备消耗的电力,UR 系列设备允许将设备切换到不同的电源模式(设备在不同电源模式下有不同的使用特性)。通用电力已经针对以下受影响的设备发布了补丁程序:B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35 和 T60。
CISA 在公告中提示,如果不进行更新可能导致攻击者利用漏洞访问敏感信息、重新启动 Universal Relay 系列设备、执行提权或者导致拒绝服务。
鉴于这些设备控制着电力的流向,这些缺陷带来的影响是很大的。通用电力强烈建议受影响的用户将固件更新到 8.10 或者更高版本,以此加固存在的漏洞。
安全缺陷
通用电气在受影响的设备上一口气修复了 9 个漏洞,其中最严重的漏洞(CVE-2021-27426)的 CVSS 评分为 9.8,该漏洞由于默认变量初始化方式不安全。
根据 IBM 的描述,受影响的设备可以允许攻击者远程绕过安全限制,通过发送特定的请求就可以利用此漏洞,且漏洞利用的水平要求不会很高。
另一个严重的漏洞(CVE-2021-27430)由于 7.00、7.01 和 7.02 版本的 UR 设备在加载程序文件时包含硬编码的凭据。本地攻击者可以利用该漏洞重新启动 UR 设备来改变启动顺序,该漏洞的 CVSS 评分为 8.4。
漏洞(CVE-2021-27422)在 UR 设备上通过 HTTP 访问 Web 接口,无需身份验证就可以得到敏感信息。
漏洞(CVE-2021-27428)基于 UR 设备上的配置管理工具的缺陷使远程攻击者可以上传任意文件,也可以利用此漏洞在没有权限的情况下升级固件。
立刻修复
这些漏洞在 7 月被发现,由 Industrial 和 VuMetric 报告给了通用电气公司。通用电气在 12 月 24 日推出了修复漏洞的 8.10 固件版本,上周这些漏洞已经被公开披露,故而 CISA 督促用户抓紧进行更新升级。
同时,CISA 还建议将 UR IED 设备放置在公司网络安全保护覆盖范围内,利用访问控制、入侵监控和其他多种技术来进行纵深防御。
去年 12 月,通用电气生产的医疗设备 GE Healthcare 中发现了漏洞,攻击者可以利用漏洞对人的健康数据(PHI)进行访问和更改,甚至直接关闭机器。
参考来源:Threatpost