CISA发布公告提醒通用电气电源管理设备存在安全缺陷

安全
美国网络安全与基础设施安全局(CISA)通告,通用电气生产的 Universal Relay(UR)系列电源管理设备中存在严重的安全漏洞。

美国网络安全与基础设施安全局(CISA)通告,通用电气生产的 Universal Relay(UR)系列电源管理设备中存在严重的安全漏洞。

通用电气的 Universal Relay 系列设备是“简化电源管理以保护关键资产的基础”。允许用户控制各种设备消耗的电力,UR 系列设备允许将设备切换到不同的电源模式(设备在不同电源模式下有不同的使用特性)。通用电力已经针对以下受影响的设备发布了补丁程序:B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35 和 T60。

[[392328]]

CISA 在公告中提示,如果不进行更新可能导致攻击者利用漏洞访问敏感信息、重新启动 Universal Relay 系列设备、执行提权或者导致拒绝服务。

鉴于这些设备控制着电力的流向,这些缺陷带来的影响是很大的。通用电力强烈建议受影响的用户将固件更新到 8.10 或者更高版本,以此加固存在的漏洞。

安全缺陷

通用电气在受影响的设备上一口气修复了 9 个漏洞,其中最严重的漏洞(CVE-2021-27426)的 CVSS 评分为 9.8,该漏洞由于默认变量初始化方式不安全。

1616571135_605aeaff2c3651a1500e6.png!small?1616571135054

根据 IBM 的描述,受影响的设备可以允许攻击者远程绕过安全限制,通过发送特定的请求就可以利用此漏洞,且漏洞利用的水平要求不会很高。

另一个严重的漏洞(CVE-2021-27430)由于 7.00、7.01 和 7.02 版本的 UR 设备在加载程序文件时包含硬编码的凭据。本地攻击者可以利用该漏洞重新启动 UR 设备来改变启动顺序,该漏洞的 CVSS 评分为 8.4。

1616571170_605aeb227c8a63059d514.png!small?1616571170599

漏洞(CVE-2021-27422)在 UR 设备上通过 HTTP 访问 Web 接口,无需身份验证就可以得到敏感信息。

1616571194_605aeb3a1ddbfb0116bdb.png!small?1616571193984

漏洞(CVE-2021-27428)基于 UR 设备上的配置管理工具的缺陷使远程攻击者可以上传任意文件,也可以利用此漏洞在没有权限的情况下升级固件。

1616571214_605aeb4e3707854730e82.png!small?1616571214058

立刻修复

这些漏洞在 7 月被发现,由 Industrial 和 VuMetric 报告给了通用电气公司。通用电气在 12 月 24 日推出了修复漏洞的 8.10 固件版本,上周这些漏洞已经被公开披露,故而 CISA 督促用户抓紧进行更新升级。

同时,CISA 还建议将 UR IED 设备放置在公司网络安全保护覆盖范围内,利用访问控制、入侵监控和其他多种技术来进行纵深防御。

1616571299_605aeba34951c7e09e6aa.png!small?1616571299545

去年 12 月,通用电气生产的医疗设备 GE Healthcare 中发现了漏洞,攻击者可以利用漏洞对人的健康数据(PHI)进行访问和更改,甚至直接关闭机器。

参考来源:Threatpost

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2012-09-11 09:57:09

Hadoop部署方案

2009-06-08 16:55:56

VMware虚拟化服务器

2013-05-09 16:10:14

2013-04-19 15:55:04

2017-10-17 14:13:06

2021-03-01 10:53:27

人工智能AI首席信息官

2020-03-27 15:49:17

工业物联网技术5G

2023-11-28 11:37:19

2020-03-26 10:33:36

工业互联网概念

2010-07-27 09:34:15

FreeBSD 8.1

2022-08-16 08:07:47

勒索软件风险CISA

2022-05-24 14:54:50

漏洞网络攻击

2013-07-17 10:58:55

数据中心备用电源UPS

2011-01-04 23:28:16

启明星辰联想网御

2016-12-12 15:19:44

云计算公有云应用上云

2021-07-19 18:03:51

勒索软件漏洞网络攻击

2023-11-27 16:38:01

2021-11-19 11:51:27

CISA网络安全美国

2017-06-15 12:05:18

2010-06-11 10:52:44

盖茨奥巴马
点赞
收藏

51CTO技术栈公众号