美国网络安全与基础设施安全局(CISA)宣布,通用电气生产的通用继电器(UR)系列电源管理设备存在严重安全漏洞通用电气。GE的通用继电器系列设备是“简化电源管理以保护关键资产的基础”。允许用户控制各种设备消耗的功率,UR系列设备允许将设备切换到不同的电源模式(设备在不同的电源模式下具有不同的使用特性)。通用电气已为以下受影响的设备发布补丁:B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35和T60。CISA在公告中指出,更新失败可能允许攻击者利用漏洞访问敏感信息、重启UniversalRelay系列设备、进行提权或导致拒绝服务。鉴于这些设备控制着电流,这些缺陷的影响是巨大的。通用电气强烈建议受影响的用户将固件更新至8.10或更高版本以加固现有漏洞。安全漏洞通用电气一次性修补了受影响设备上的九个漏洞,其中最严重的漏洞(CVE-2021-27426)由于默认变量初始化不安全,CVSS评分为9.8。根据IBM的描述,受影响的设备可以让攻击者通过发送特定的请求来远程绕过安全限制来利用这个漏洞,并且需要的利用级别不是很高。另一个严重漏洞(CVE-2021-27430)是由于版本7.00、7.01和7.02中的UR设备在加载程序文件时包含硬编码凭证。本地攻击者可利用该漏洞重启UR设备改变启动顺序,该漏洞CVSS评分为8.4。该漏洞(CVE-2021-27422)在UR设备上通过HTTP方式访问Web界面,无需认证即可获取敏感信息。该漏洞(CVE-2021-27428)是基于UR设备配置管理工具存在的漏洞,允许远程攻击者上传任意文件,并利用该漏洞进行未经许可的固件升级。立即修复这些漏洞是在7月份发现的,并由Industrial和VuMetric报告给了通用电气。通用电气于12月24日推出固件版本8.10,以修复上周公开披露的漏洞,促使CISA敦促用户迅速升级。同时,CISA还建议将URIED设备置于企业网络安全防护范围内,利用访问控制、入侵监控等多种技术进行纵深防御。去年12月,通用电气生产的医疗设备GEHealthcare被发现存在漏洞。攻击者可以利用该漏洞访问和更改人们的健康数据(PHI),甚至直接关闭机器。参考来源:Threatpost
