Múltiples vulnerabilidades en productos de la familia UR de GE
GE informa de que las vulnerabilidades afectan a los siguientes productos de la familia UR (B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35, T60) de relés avanzados de protección y control:
- vulnerabilidades relacionadas con el soporte a SSH: versiones de firmware desde 7.4x hasta 8.0x (opción CyberSentry);
- vulnerabilidades del servidor web: todas las versiones de firmware anteriores a 8.1x;
- protección contra la carga involuntaria de firmware: todas las versiones de firmware anteriores a la 8.1x con opción de seguridad básica;
- disposiciones para desactivar el modo de fábrica: todas las versiones de firmware anteriores a la 8.1x con opción de seguridad básica;
- acceso al registro Last-key pressed: todas las versiones de firmware anteriores a la 8.1x con opción de seguridad básica;
- debilidad en el binario del gestor de arranque de UR: todas las versiones del gestor de arranque anteriores a 7.03/7.04.
SCADA-X, el programa CyTRICS del DOE (Departamento de Energía), Verve Industrial y VuMetri han reportado a GE 10 vulnerabilidades: 1 crítica, 5 altas y 4 medias.
GE recomienda a los usuarios con versiones de firmware afectadas que actualicen sus dispositivos UR a la versión 8.10 o superior del firmware UR para resolver estas vulnerabilidades. El fabricante proporciona mitigaciones adicionales e información sobre estas vulnerabilidades en su aviso GES-2021-004.
- UR (Universal Relay) IED (Intelligent Electronic Devices), con variante de seguridad Basic, no permite la desactivación del Factory Mode, que se utiliza para el mantenimiento del IED por parte de un usuario Factory. Se ha asignado el identificador CVE-2021-27426 para esta vulnerabilidad crítica.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2016-2183, CVE-2013-2566, CVE-1999-1085, CVE-2021-27422, CVE-2021-27418, CVE-2021-27420, CVE-2021-27428, CVE-2021-27424 y CVE-2021-27430.