ICS-CERT informuje o nowych podatnościach w produktach firmy GE

utworzone przez | Mar 18, 2021 | ICS

ProduktGE informuje, że luki dotyczą następujących rodzin UR (B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35, T60) zaawansowanych przekaźniki zabezpieczeniowe i sterujące:       
Luki związane z obsługą SSH: wersje oprogramowania układowego od 7.4x do 8.0x (opcja CyberSentry)     
Luki serwera WWW: wszystkie wersje oprogramowania układowego wcześniejsze niż 8.1x     
Ochrona przed niezamierzonym załadowaniem oprogramowania układowego: wszystkie wersje oprogramowania układowego wcześniejsze niż 8.1x z podstawową opcją zabezpieczeń      Postanowienia dotyczące wyłączenia trybu fabrycznego: wszystkie wersje oprogramowania układowego wcześniejsze niż 8.1x z podstawową opcją zabezpieczeń     
Dostęp do rejestru „ostatnio naciśnięty klawisz”: wszystkie wersje oprogramowania sprzętowego wcześniejsze niż 8.1x z podstawową opcją zabezpieczeń     
Słabość w pliku binarnym bootloadera UR: wszystkie wersje bootloadera przed 7.03 / 7.04
Numer CVECVE-2016-2183 CVE-2013-2566
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisPrzed wersją oprogramowania układowego UR 8.1x, UR obsługiwał różne algorytmy szyfrowania i MAC do komunikacji SSH, z których niektóre były słabe.
AktualizacjaTAK
Linkhttp://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-068-02
  
Numer CVECVE-1999-1085
Krytyczność5.3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
OpisPrzed wersją oprogramowania układowego 7.4x, UR obsługiwane tylko SSHv2. Począwszy od wersji oprogramowania układowego 7.4x, UR dodał obsługę protokołu SSHv1. SSHv1 ma znane luki w zabezpieczeniach (pobieranie klucza sesji protokołu SSH i atak typu insert).
AktualizacjaTAK
  
Numer CVECVE-2021-27422
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisInterfejs serwera WWW jest obsługiwany w protokole UR przez HTTP. Umożliwia ujawnienie poufnych informacji bez uwierzytelniania.
AktualizacjaTAK
  
Numer CVECVE-2021-27418
Krytyczność5.3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisUR obsługuje interfejs sieciowy z dostępem tylko do odczytu. Urządzenie nie sprawdza poprawnie danych wejściowych użytkownika, co umożliwia przeprowadzanie ataków typu cross-site scripting, które mogą zostać użyte do wysłania złośliwego skryptu. Ponadto serwer sieciowy UR Firmware nie wykonuje kodowania HTML ciągów dostarczonych przez użytkownika.
AktualizacjaTAK
  
Numer CVECVE-2021-27420
Krytyczność5.3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
OpisZadanie serwera WWW UR Firmware nie obsługuje prawidłowo odbierania nieobsługiwanych zleceń HTTP, co powoduje, że serwer WWW chwilowo przestaje odpowiadać po otrzymaniu serii nieobsługiwanych żądań HTTP. Gdy nie odpowiada, serwer sieciowy jest niedostępny. Samo w sobie nie jest to szczególnie istotne, ponieważ przekaźnik pozostaje skuteczny we wszystkich innych funkcjach i kanałach komunikacyjnych.
AktualizacjaTAK
  
Numer CVECVE-2021-27428
Krytyczność7.5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisUrządzenie UR IED obsługuje aktualizację oprogramowania układowego za pomocą narzędzia konfiguracyjnego UR Setup – Enervista UR Setup. To narzędzie konfiguracyjne UR sprawdza autentyczność i integralność pliku oprogramowania układowego przed załadowaniem urządzenia UR IED. Nielegalny użytkownik może zaktualizować oprogramowanie sprzętowe bez odpowiednich uprawnień. Ta słabość jest oceniana, a środki zaradcze są wdrażane w oprogramowaniu w wersji 8.10.
AktualizacjaTAK
  
Numer CVECVE-2021-27426
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisUrządzenie UR z wariantem zabezpieczeń „Basic” nie pozwala na wyłączenie „trybu fabrycznego”, który jest używany do obsługi terminalu IED przez użytkownika „fabrycznego”.
AktualizacjaTAK
  
Numer CVECVE-2021-27424
Krytyczność5.3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
OpisUR udostępnia mapę pamięci MODBUS jako część przewodnika komunikacyjnego. Firma GE została poinformowana, że rejestr MODBUS „ostatnio naciśnięty” może być użyty do uzyskania nieautoryzowanych informacji.
AktualizacjaTAK
  
Numer CVECVE-2021-27430
Krytyczność8.4/10
CVSSAV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisWersja binarna programu ładującego UR w wersji 7.00, 7.01 i 7.02 zawierała nieużywane zakodowane na stałe poświadczenia. Dodatkowo, użytkownik z fizycznym dostępem do urządzenia UR IED może przerwać sekwencję ładowania przez ponowne uruchomienie UR.
AktualizacjaTAK
Linkhttps://us-cert.cisa.gov/ics/advisories/icsa-21-075-02