Produkt | GE informuje, że luki dotyczą następujących rodzin UR (B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35, T60) zaawansowanych przekaźniki zabezpieczeniowe i sterujące: Luki związane z obsługą SSH: wersje oprogramowania układowego od 7.4x do 8.0x (opcja CyberSentry) Luki serwera WWW: wszystkie wersje oprogramowania układowego wcześniejsze niż 8.1x Ochrona przed niezamierzonym załadowaniem oprogramowania układowego: wszystkie wersje oprogramowania układowego wcześniejsze niż 8.1x z podstawową opcją zabezpieczeń Postanowienia dotyczące wyłączenia trybu fabrycznego: wszystkie wersje oprogramowania układowego wcześniejsze niż 8.1x z podstawową opcją zabezpieczeń Dostęp do rejestru „ostatnio naciśnięty klawisz”: wszystkie wersje oprogramowania sprzętowego wcześniejsze niż 8.1x z podstawową opcją zabezpieczeń Słabość w pliku binarnym bootloadera UR: wszystkie wersje bootloadera przed 7.03 / 7.04 |
Numer CVE | CVE-2016-2183 CVE-2013-2566 |
Krytyczność | 7.5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Opis | Przed wersją oprogramowania układowego UR 8.1x, UR obsługiwał różne algorytmy szyfrowania i MAC do komunikacji SSH, z których niektóre były słabe. |
Aktualizacja | TAK |
Link | http://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-068-02 |
Numer CVE | CVE-1999-1085 |
Krytyczność | 5.3/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Opis | Przed wersją oprogramowania układowego 7.4x, UR obsługiwane tylko SSHv2. Począwszy od wersji oprogramowania układowego 7.4x, UR dodał obsługę protokołu SSHv1. SSHv1 ma znane luki w zabezpieczeniach (pobieranie klucza sesji protokołu SSH i atak typu insert). |
Aktualizacja | TAK |
Numer CVE | CVE-2021-27422 |
Krytyczność | 7.5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Opis | Interfejs serwera WWW jest obsługiwany w protokole UR przez HTTP. Umożliwia ujawnienie poufnych informacji bez uwierzytelniania. |
Aktualizacja | TAK |
Numer CVE | CVE-2021-27418 |
Krytyczność | 5.3/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Opis | UR obsługuje interfejs sieciowy z dostępem tylko do odczytu. Urządzenie nie sprawdza poprawnie danych wejściowych użytkownika, co umożliwia przeprowadzanie ataków typu cross-site scripting, które mogą zostać użyte do wysłania złośliwego skryptu. Ponadto serwer sieciowy UR Firmware nie wykonuje kodowania HTML ciągów dostarczonych przez użytkownika. |
Aktualizacja | TAK |
Numer CVE | CVE-2021-27420 |
Krytyczność | 5.3/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Opis | Zadanie serwera WWW UR Firmware nie obsługuje prawidłowo odbierania nieobsługiwanych zleceń HTTP, co powoduje, że serwer WWW chwilowo przestaje odpowiadać po otrzymaniu serii nieobsługiwanych żądań HTTP. Gdy nie odpowiada, serwer sieciowy jest niedostępny. Samo w sobie nie jest to szczególnie istotne, ponieważ przekaźnik pozostaje skuteczny we wszystkich innych funkcjach i kanałach komunikacyjnych. |
Aktualizacja | TAK |
Numer CVE | CVE-2021-27428 |
Krytyczność | 7.5/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Opis | Urządzenie UR IED obsługuje aktualizację oprogramowania układowego za pomocą narzędzia konfiguracyjnego UR Setup – Enervista UR Setup. To narzędzie konfiguracyjne UR sprawdza autentyczność i integralność pliku oprogramowania układowego przed załadowaniem urządzenia UR IED. Nielegalny użytkownik może zaktualizować oprogramowanie sprzętowe bez odpowiednich uprawnień. Ta słabość jest oceniana, a środki zaradcze są wdrażane w oprogramowaniu w wersji 8.10. |
Aktualizacja | TAK |
Numer CVE | CVE-2021-27426 |
Krytyczność | 9.8/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | Urządzenie UR z wariantem zabezpieczeń „Basic” nie pozwala na wyłączenie „trybu fabrycznego”, który jest używany do obsługi terminalu IED przez użytkownika „fabrycznego”. |
Aktualizacja | TAK |
Numer CVE | CVE-2021-27424 |
Krytyczność | 5.3/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Opis | UR udostępnia mapę pamięci MODBUS jako część przewodnika komunikacyjnego. Firma GE została poinformowana, że rejestr MODBUS „ostatnio naciśnięty” może być użyty do uzyskania nieautoryzowanych informacji. |
Aktualizacja | TAK |
Numer CVE | CVE-2021-27430 |
Krytyczność | 8.4/10 |
CVSS | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | Wersja binarna programu ładującego UR w wersji 7.00, 7.01 i 7.02 zawierała nieużywane zakodowane na stałe poświadczenia. Dodatkowo, użytkownik z fizycznym dostępem do urządzenia UR IED może przerwać sekwencję ładowania przez ponowne uruchomienie UR. |
Aktualizacja | TAK |
Link | https://us-cert.cisa.gov/ics/advisories/icsa-21-075-02 |