美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)通告，通用電氣生產(chǎn)的 Universal Relay(UR)系列電源管理設(shè)備中存在嚴(yán)重的安全漏洞。

通用電氣的 Universal Relay 系列設(shè)備是“簡(jiǎn)化電源管理以保護(hù)關(guān)鍵資產(chǎn)的基礎(chǔ)”。允許用戶控制各種設(shè)備消耗的電力，UR 系列設(shè)備允許將設(shè)備切換到不同的電源模式(設(shè)備在不同電源模式下有不同的使用特性)。通用電力已經(jīng)針對(duì)以下受影響的設(shè)備發(fā)布了補(bǔ)丁程序：B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35 和 T60。

[[392328]]

CISA 在公告中提示，如果不進(jìn)行更新可能導(dǎo)致攻擊者利用漏洞訪問(wèn)敏感信息、重新啟動(dòng) Universal Relay 系列設(shè)備、執(zhí)行提權(quán)或者導(dǎo)致拒絕服務(wù)。

鑒于這些設(shè)備控制著電力的流向，這些缺陷帶來(lái)的影響是很大的。通用電力強(qiáng)烈建議受影響的用戶將固件更新到 8.10 或者更高版本，以此加固存在的漏洞。

安全缺陷

通用電氣在受影響的設(shè)備上一口氣修復(fù)了 9 個(gè)漏洞，其中最嚴(yán)重的漏洞(CVE-2021-27426)的 CVSS 評(píng)分為 9.8，該漏洞由于默認(rèn)變量初始化方式不安全。

根據(jù) IBM 的描述，受影響的設(shè)備可以允許攻擊者遠(yuǎn)程繞過(guò)安全限制，通過(guò)發(fā)送特定的請(qǐng)求就可以利用此漏洞，且漏洞利用的水平要求不會(huì)很高。

另一個(gè)嚴(yán)重的漏洞(CVE-2021-27430)由于 7.00、7.01 和 7.02 版本的 UR 設(shè)備在加載程序文件時(shí)包含硬編碼的憑據(jù)。本地攻擊者可以利用該漏洞重新啟動(dòng) UR 設(shè)備來(lái)改變啟動(dòng)順序，該漏洞的 CVSS 評(píng)分為 8.4。

漏洞(CVE-2021-27422)在 UR 設(shè)備上通過(guò) HTTP 訪問(wèn) Web 接口，無(wú)需身份驗(yàn)證就可以得到敏感信息。

漏洞(CVE-2021-27428)基于 UR 設(shè)備上的配置管理工具的缺陷使遠(yuǎn)程攻擊者可以上傳任意文件，也可以利用此漏洞在沒(méi)有權(quán)限的情況下升級(jí)固件。

立刻修復(fù)

這些漏洞在 7 月被發(fā)現(xiàn)，由 Industrial 和 VuMetric 報(bào)告給了通用電氣公司。通用電氣在 12 月 24 日推出了修復(fù)漏洞的 8.10 固件版本，上周這些漏洞已經(jīng)被公開(kāi)披露，故而 CISA 督促用戶抓緊進(jìn)行更新升級(jí)。

同時(shí)，CISA 還建議將 UR IED 設(shè)備放置在公司網(wǎng)絡(luò)安全保護(hù)覆蓋范圍內(nèi)，利用訪問(wèn)控制、入侵監(jiān)控和其他多種技術(shù)來(lái)進(jìn)行縱深防御。

去年 12 月，通用電氣生產(chǎn)的醫(yī)療設(shè)備 GE Healthcare 中發(fā)現(xiàn)了漏洞，攻擊者可以利用漏洞對(duì)人的健康數(shù)據(jù)(PHI)進(jìn)行訪問(wèn)和更改，甚至直接關(guān)閉機(jī)器。

參考來(lái)源：Threatpost