США выпустили предупреждение об уязвимостях управления питанием GE UR

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) опубликовало предупреждение системы безопасности об уязвимостях, затрагивающих семейство продуктов GE Universal Relay (UR). Уведомление было создано из-за того, что GE сообщила агентству об уязвимостях и последующих исправлениях. Продукты Universal Relay используются для управления питанием в коммунальных службах по всему миру. GE говорит, что они предоставляют коммунальным предприятиям технологию, «чтобы максимизировать производительность элементов защиты и управления их электрических систем».

Согласно предупреждению, всего существует девять уязвимостей, и в совокупности они оцениваются как критические 9,8 в Общей системе оценки уязвимостей (CVSS).

В рекомендациях по безопасности говорится следующее об уязвимостях семейства UR:

Уязвимости: неадекватная сила шифрования, фиксация сеанса, раскрытие конфиденциальной информации неавторизованному субъекту, неправильная проверка ввода, неограниченная загрузка файла с опасным типом, небезопасная инициализация переменной по умолчанию, использование жестко запрограммированных учетных данных.

GE сообщает, что уязвимости затрагивают следующее семейство UR (B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35, T60) передовых реле защиты и управления:

• Уязвимости, связанные с поддержкой SSH: версии прошивки с 7.4x по 8.0x (опция CyberSentry)
• Уязвимости веб-сервера: все версии прошивки до версии 8.1x
• Защита от непреднамеренной загрузки прошивки: все версии прошивки до 8.1x с базовой опцией безопасности
• Условия для отключения Factory Mode: все версии прошивки до 8.1x с базовой опцией безопасности
• Доступ к регистру «Последняя нажатая клавиша»: все версии прошивки до 8.1x с базовой опцией безопасности
• Слабость в двоичном файле загрузчика UR: все версии загрузчика до 7.03/7.04.

Уязвимости семейства UR не требуют высокого уровня навыков для эксплуатации, кроме того, их можно использовать удаленно. В случае успешного использования злоумышленнику, имеющему доступ, открывается целый ряд возможностей. Рассматриваемый киберпреступник может перезагрузить UR по своему желанию, создать отказ в обслуживании, получить доступ к конфиденциальным данным, а также участвовать в эскалации привилегий до точки получения доступа высокого уровня. Это особенно тревожно в нынешних условиях, когда киберпреступники и государства нацеливаются на критически важную инфраструктуру.

Компания GE выпустила исправления для всех уязвимых продуктов и настоятельно рекомендует как можно скорее установить обновления встроенного ПО.