CISA发布公告提醒通用电气电源管理设备存在安全缺陷

美国网络安全与基础设施安全局（CISA）通告，通用电气生产的 Universal Relay（UR）系列电源管理设备中存在严重的安全漏洞。

通用电气的 Universal Relay 系列设备是“简化电源管理以保护关键资产的基础”。允许用户控制各种设备消耗的电力，UR 系列设备允许将设备切换到不同的电源模式（设备在不同电源模式下有不同的使用特性）。通用电力已经针对以下受影响的设备发布了补丁程序：B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35 和 T60。

CISA 在公告中提示，如果不进行更新可能导致攻击者利用漏洞访问敏感信息、重新启动 Universal Relay 系列设备、执行提权或者导致拒绝服务。

鉴于这些设备控制着电力的流向，这些缺陷带来的影响是很大的。通用电力强烈建议受影响的用户将固件更新到 8.10 或者更高版本，以此加固存在的漏洞。

安全缺陷

通用电气在受影响的设备上一口气修复了 9 个漏洞，其中最严重的漏洞（CVE-2021-27426）的 CVSS 评分为 9.8，该漏洞由于默认变量初始化方式不安全。

根据 IBM 的描述，受影响的设备可以允许攻击者远程绕过安全限制，通过发送特定的请求就可以利用此漏洞，且漏洞利用的水平要求不会很高。

另一个严重的漏洞（CVE-2021-27430）由于 7.00、7.01 和 7.02 版本的 UR 设备在加载程序文件时包含硬编码的凭据。本地攻击者可以利用该漏洞重新启动 UR 设备来改变启动顺序，该漏洞的 CVSS 评分为 8.4。

漏洞（CVE-2021-27422）在 UR 设备上通过 HTTP 访问 Web 接口，无需身份验证就可以得到敏感信息。

漏洞（CVE-2021-27428）基于 UR 设备上的配置管理工具的缺陷使远程攻击者可以上传任意文件，也可以利用此漏洞在没有权限的情况下升级固件。

立刻修复

这些漏洞在 7 月被发现，由 Industrial 和 VuMetric 报告给了通用电气公司。通用电气在 12 月 24 日推出了修复漏洞的 8.10 固件版本，上周这些漏洞已经被公开披露，故而 CISA 督促用户抓紧进行更新升级。

同时，CISA 还建议将 UR IED 设备放置在公司网络安全保护覆盖范围内，利用访问控制、入侵监控和其他多种技术来进行纵深防御。

去年 12 月，通用电气生产的医疗设备 GE Healthcare 中发现了漏洞，攻击者可以利用漏洞对人的健康数据（PHI）进行访问和更改，甚至直接关闭机器。