La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a mis en garde contre des lacunes de sécurité critiques dans la famille de dispositifs de gestion de l’alimentation Universal Relay (UR) de GE.
«Une exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant d’accéder à des informations sensibles, de redémarrer l’UR, d’obtenir un accès privilégié ou de provoquer une condition de déni de service», l’agence mentionné dans un avis publié le 16 mars.
Relais universels GE permettre surveillance et comptage intégrés, communications à haut débit et offre une gestion de l’alimentation simplifiée pour la protection des actifs critiques.
Les défauts, qui affectent un certain nombre de relais de protection et de contrôle avancés UR, notamment B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35 et T60, ont été abordés par GE avec la publication d’une version mise à jour du Micrologiciel UR (version 8.10) disponible le 24 décembre 2020.
Les correctifs résolvent au total neuf vulnérabilités, dont la plus importante concerne un variable par défaut non sécurisée initialisation, se référant à l’initialisation d’une variable interne dans le logiciel avec une valeur non sécurisée. La vulnérabilité (CVE-2021-27426) est également notée 9,8 sur 10, ce qui en fait un problème critique.
« En envoyant une requête spécialement conçue, un attaquant pourrait exploiter cette vulnérabilité pour contourner les restrictions d’accès, » IBM a noté dans son alerte. [Intelligent Electronic Device] peut interrompre la séquence de démarrage en redémarrant l’UR. «
GE a également corrigé une autre faille de gravité élevée (CVE-2021-27428, score CVSS 7,5) qui pourrait permettre à un utilisateur non autorisé de mettre à niveau le micrologiciel sans les privilèges appropriés.
Quatre autres vulnérabilités impliquent deux validations d’entrée incorrectes (CVE-2021-27418, CVE-2021-27420) et deux failles concernant l’exposition d’informations sensibles à des parties non autorisées (CVE-2021-27422, CVE-2021-27424), exposant ainsi l’appareil aux attaques de scripts intersites, permettant à un attaquant d’accéder à des informations critiques sans authentification, et même de rendre le serveur Web insensible.
Enfin, toutes les versions du micrologiciel UR antérieures à 8.1x se sont avérées utiliser un cryptage faible et des algorithmes MAC pour la communication SSH, ce qui les rend plus vulnérables aux attaques par force brute.
« CISA recommande aux utilisateurs de prendre des mesures défensives pour minimiser le risque d’exploitation de ces vulnérabilités », a déclaré l’agence. « Réduire au minimum l’exposition du réseau pour tous les dispositifs et / ou systèmes du système de contrôle et veiller à ce qu’ils ne soient pas accessibles depuis Internet, [and] localisez les réseaux du système de contrôle et les périphériques distants derrière les pare-feu et isolez-les du réseau de l’entreprise. «