0x00 漏洞概述
2021年03月16日,CISA发布安全公告,公开了GE(通用电气公司)UR系列(电源管理设备,主要用于控制和保护各种设备的功耗)中的多个安全漏洞。成功利用这些漏洞的攻击者能够访问敏感信息、重启UR、提升权限或导致拒绝服务。
0x01 漏洞详情
本次公开的UR设备中的漏洞如下:
|
CVE-ID |
CVSS评分 |
类型 |
详情 |
|
CVE-2016-2183 CVE-2013-2566 |
7.5 |
加密强度不足 |
在UR固件版本8.1x之前,UR SSH通信使用弱加密和MAC算法。 |
|
CVE-1999-1085 |
5.3 |
会话固定 |
在7.4x固件版本之前,UR仅支持SSHv2。从固件版本7.4x开始,UR支持具有已知漏洞的SSHv1(SSH协议会话密钥检索和插入攻击)。 |
|
CVE-2021-27422 |
7.5 |
信息泄露 |
UR over HTTP协议支持Web服务器接口,它能够导致未经身份验证泄露敏感信息。 |
|
CVE-2021-27418 |
5.3 |
输入验证不正确 |
UR支持具有只读访问权限的Web界面。由于设备无法正确验证输入,从而可能导致XSS攻击,该攻击可用于发送恶意脚本。另外,UR固件Web服务器不对用户提供的字符串执行HTML编码。 |
|
CVE-2021-27420 |
5.3 |
输入验证不正确 |
UR Firmware Web服务器任务没有正确处理接收不支持的HTTP verbs,导致Web服务器在接收到一系列不支持的HTTP请求后暂时不响应。当无响应时,Web服务器是不可访问的。 |
|
CVE-2021-27428 |
7.5 |
文件上传 |
UR IED支持使用UR Setup配置工具–Enervista UR Setup升级固件。该UR Setup工具在上传UR IED之前验证固件文件的真实性和完整性。攻击者可以在没有适当权限的情况下升级固件。(固件8.10版本中应用缓解措施。) |
|
CVE-2021-27426 |
9.8 |
不安全的默认变量初始化 |
具有“Basic”安全性变体的UR IED不允许禁用“Factory Mode”,该模式用于为“Factory”用户维修IED。 |
|
CVE-2021-27424 |
5.3 |
信息泄露 |
作为通信指南的一部分,UR共享MODBUS内存映射。GE收到 “Last-key pressed”的MODBUS寄存器可以被用来获取未经授权的信息。 |
|
CVE-2021-27430 |
8.4 |
硬编码凭证 |
UR bootloader二进制版本7.00、7.01和7.02包含未使用的硬编码凭证。此外,能够物理访问UR IED的用户可以通过重新启动UR来中断启动序列。 |
影响范围
GE UR系列(B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35、T60):
SSH相关的漏洞:固件版本7.4x-08.0x(CyberSentry选项)
Web服务器漏洞:8.1x之前的所有固件版本
固件上传:具有基本安全性选项的8.1x之前的所有固件版本
禁用出厂模式:具有基本安全性选项的8.1x之前的所有固件版本
访问“Last-key pressed”的寄存器:具有基本安全性选项的8.1x之前的所有固件版本
UR Bootloader二进制文件:7.03/7.04之前的所有Bootloader版本
0x02 处置建议
目前这些漏洞已经修复,建议将UR设备更新为UR固件版本8.10或更高版本。更多信息请参考CISA官方通告。
相关链接:
https://www.gegridsolutions.com/Passport/Login.aspx
0x03 参考链接
https://us-cert.cisa.gov/ics/advisories/icsa-21-075-02
https://securityaffairs.co/wordpress/115881/security/cisa-ge-power-management-devices-flaws.html?
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27426
0x04 时间线
2021-03-16 CISA发布安全公告
2021-03-24 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
