美国网络信息安全与基础设施建设安全局(CISA)通告,通用电气生产制造的 Universal Relay(UR)系列产品电源管理设备中出现明显的安全漏洞。
通用电气的 Universal Relay 系列产品设备是“简单化电源管理以维护重要财产的基本”。容许客户操纵各种各样设备耗费的电力工程,UR 系列产品设备容许将设备转换到不一样的电源模式(设备在不同电源模式下有不一样的应用特点)。通用性电力工程早已对于下列受影响的设备公布了补丁程序:B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35 和 T60。
CISA 在公示中提醒,如果不开展升级很有可能造成网络攻击运用系统漏洞浏览比较敏感信息内容、重启 Universal Relay 系列产品设备、实行漏洞利用或是造成拒绝服务攻击。
由于这种设备操纵着电力工程的流入,这种缺点产生的直接影响是挺大的。通用性电力工程强烈要求受影响的客户将固定件升级到 8.10 或是更高一些版本号,为此结构加固存有的系统漏洞。
安全性缺点
通用电气在受影响的设备上一口气修补了 9 个系统漏洞,在其中最明显的系统漏洞(CVE-2021-27426)的 CVSS 得分为 9.8,该系统漏洞因为默认设置自变量复位方法不安全。
依据 IBM 的叙述,受影响的设备可以容许网络攻击远程控制绕开安全性限定,根据推送特殊的要求就可以运用此系统漏洞,且漏洞检测的水准规定并不会很高。
另一个明显的系统漏洞(CVE-2021-27430)因为 7.00、7.01 和 7.02 版本号的 UR 设备在载入体系文件时包括硬编码的凭证。当地网络攻击可以使用该系统漏洞重启 UR 设备来更改运行次序,该系统漏洞的 CVSS 得分为 8.4。
系统漏洞(CVE-2021-27422)在 UR 设备上根据 HTTP 浏览 Web 插口,不用身份认证就可以获得比较敏感信息内容。
系统漏洞(CVE-2021-27428)根据 UR 设备上的配置管理工具的缺点使远程控制网络攻击可以提交随意文档,还可以使用此系统漏洞在沒有管理权限的情形下更新固定件。
马上修补
这种系统漏洞在 7 月被发觉,由 Industrial 和 VuMetric 汇报给了通用电气企业。通用电气在 12 月 24 日发布了漏洞修复的 8.10 固件,上星期这种系统漏洞早已被公布披露,因此 CISA 催促客户赶紧开展升级更新。
与此同时,CISA 还提议将 UR IED 设备置放在企业网络信息安全维护覆盖面积内,运用密钥管理、侵入监管和别的多种多样工艺来开展深度防御力。
上年 12 月,通用电气生产制造的诊疗设备 GE Healthcare 中看到了系统漏洞,网络攻击可以运用系统漏洞对人会的运动健康(PHI)开展浏览和变更,乃至立即关掉设备。
参照由来:Threatpost