美國網絡安全與基礎設施安全局(CISA)通告，通用電氣生產的 Universal Relay(UR)系列電源管理設備中存在嚴重的安全漏洞。

通用電氣的 Universal Relay 系列設備是“簡化電源管理以保護關鍵資產的基礎”。允許用戶控制各種設備消耗的電力，UR 系列設備允許將設備切換到不同的電源模式(設備在不同電源模式下有不同的使用特性)。通用電力已經針對以下受影響的設備發布了補丁程序：B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35 和 T60。

[[392328]]

CISA 在公告中提示，如果不進行更新可能導致攻擊者利用漏洞訪問敏感信息、重新啟動 Universal Relay 系列設備、執行提權或者導致拒絕服務。

鑒于這些設備控制著電力的流向，這些缺陷帶來的影響是很大的。通用電力強烈建議受影響的用戶將固件更新到 8.10 或者更高版本，以此加固存在的漏洞。

安全缺陷

通用電氣在受影響的設備上一口氣修復了 9 個漏洞，其中最嚴重的漏洞(CVE-2021-27426)的 CVSS 評分為 9.8，該漏洞由于默認變量初始化方式不安全。

根據 IBM 的描述，受影響的設備可以允許攻擊者遠程繞過安全限制，通過發送特定的請求就可以利用此漏洞，且漏洞利用的水平要求不會很高。

另一個嚴重的漏洞(CVE-2021-27430)由于 7.00、7.01 和 7.02 版本的 UR 設備在加載程序文件時包含硬編碼的憑據。本地攻擊者可以利用該漏洞重新啟動 UR 設備來改變啟動順序，該漏洞的 CVSS 評分為 8.4。

漏洞(CVE-2021-27422)在 UR 設備上通過 HTTP 訪問 Web 接口，無需身份驗證就可以得到敏感信息。

漏洞(CVE-2021-27428)基于 UR 設備上的配置管理工具的缺陷使遠程攻擊者可以上傳任意文件，也可以利用此漏洞在沒有權限的情況下升級固件。

立刻修復

這些漏洞在 7 月被發現，由 Industrial 和 VuMetric 報告給了通用電氣公司。通用電氣在 12 月 24 日推出了修復漏洞的 8.10 固件版本，上周這些漏洞已經被公開披露，故而 CISA 督促用戶抓緊進行更新升級。

同時，CISA 還建議將 UR IED 設備放置在公司網絡安全保護覆蓋范圍內，利用訪問控制、入侵監控和其他多種技術來進行縱深防御。

去年 12 月，通用電氣生產的醫療設備 GE Healthcare 中發現了漏洞，攻擊者可以利用漏洞對人的健康數據(PHI)進行訪問和更改，甚至直接關閉機器。

參考來源：Threatpost