CISA 警告 GE 電源管理設備存在安全漏洞

這些漏洞可能使攻擊者可以訪問敏感信息，重新啟動UR，獲得特權訪問或導致拒絕服務情況。

美國網絡安全與基礎設施安全局（CISA）警告通用電氣（GE）的通用繼電器（UR）系列電源管理設備中存在嚴重的安全漏洞。

該公司表示，GE的UR設備是“簡化電源管理以保護關鍵資產的基礎”。這些是允許用戶控制各種設備消耗的電功率量的計算設備。UR設備允許基礎設備切換到各種電源模式（每個設備都具有各種電源使用特性）。GE已針對以下受影響的UR設備系列發布了補丁程序：B30，B90，C30，C60，C70，C95，D30，D60，F35，F60，G30，G60，L30，L60，L90，M60，N60，T35和T60。

CISA警告說，如果不進行更新，則可能利用受影響的產品來使攻擊者訪問敏感信息，重新啟動UR，獲得特權訪問或導致拒絕服務情況。
鑒于設備控制著電源的流向和方向，這些漏洞的影響會更大：“ GE強烈建議固件版本受影響的用戶將其UR設備更新為UR固件版本8.10或更高版本，以解決這些漏洞。” CISA上周的警報。

GE安全漏洞

總體而言，在受影響的設備上修補了九個漏洞。其中最嚴重的（CVE-2021-27426）的CVSS評分為9.8（滿分10分），非常嚴重。該漏洞源于不安全的默認變量初始化。根據IBM安全警報，受影響的GE UR系列可以允許遠程攻擊者繞過安全限制，這是由于UR智能電子設備（IED）組件中的默認變量初始化不安全所致。

IBM說：“通過發送特制請求，攻擊者可以利用此漏洞繞過訪問限制。” 據GE稱，該漏洞可以遠程利用，并且需要“較低的技術水平才能利用”。

另一個高度嚴重的問題（CVE-2021-27430）源自以下事實：版本7.00、7.01和7.02中的UR引導加載程序二進制文件包含硬編碼的憑據。根據IBM的說法，本地攻擊者可以利用此漏洞通過重新啟動UR來中斷啟動順序。缺陷在CVSS級別上排名8.4，使其具有很高的嚴重性。

CISA說：“此外，對UR IED具有物理訪問權限的用戶可以通過重新啟動UR來中斷啟動順序。”

研究人員說，另一個高度嚴重的問題（CVE-2021-27422）是UR上通過HTTP協議支持受影響設備的Web服務器接口–無需身份驗證即可暴露敏感信息。

最后，研究人員發現，受影響的UR系列的基于Web的UR設置配置工具（CVE-2021-27428）中的漏洞可能使遠程攻擊者可以上傳任意文件。

根據IBM的通報，“通過發送特制的請求，遠程攻擊者可以利用此漏洞來升級固件而沒有適當的特權”。

安全更新：立即修補

據報道，這些漏洞最早是在7月發現的-解決該漏洞的UR固件版本（版本8.10）于12月24日推出。 Industrial和VuMetric向GE報告了這些缺陷。

但是，在上周公開披露了這些漏洞之后，CISA現在敦促最終用戶更新其UR設備。CISA指出，尚未發現已知的安全漏洞。

根據CISA的警告，“ GE建議使用深度網絡防御措施來保護UR IED。” “這包括但不限于將UR IED放置在控制系統網絡安全范圍內，并具有訪問控制，監視（例如入侵檢測系統）和其他緩解技術。”

GE以前曾處理過安全問題。去年12月，在醫院流行的數十種GE Healthcare放射設備中發現了一對嚴重漏洞，攻擊者可能會利用這些漏洞訪問敏感的個人健康信息（PHI），更改數據，甚至關閉機器的可用性。