Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de la familia UR de GE

Fecha de publicación 17/03/2021
Importancia
5 - Crítica
Recursos Afectados

GE informa de que las vulnerabilidades afectan a los siguientes productos de la familia UR (B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35, T60) de relés avanzados de protección y control:

  • vulnerabilidades relacionadas con el soporte a SSH: versiones de firmware desde 7.4x hasta 8.0x (opción CyberSentry);
  • vulnerabilidades del servidor web: todas las versiones de firmware anteriores a 8.1x;
  • protección contra la carga involuntaria de firmware: todas las versiones de firmware anteriores a la 8.1x con opción de seguridad básica;
  • disposiciones para desactivar el modo de fábrica: todas las versiones de firmware anteriores a la 8.1x con opción de seguridad básica;
  • acceso al registro Last-key pressed: todas las versiones de firmware anteriores a la 8.1x con opción de seguridad básica;
  • debilidad en el binario del gestor de arranque de UR: todas las versiones del gestor de arranque anteriores a 7.03/7.04.
Descripción

SCADA-X, el programa CyTRICS del DOE (Departamento de Energía), Verve Industrial y VuMetri han reportado a GE 10 vulnerabilidades: 1 crítica, 5 altas y 4 medias.

Solución

GE recomienda a los usuarios con versiones de firmware afectadas que actualicen sus dispositivos UR a la versión 8.10 o superior del firmware UR para resolver estas vulnerabilidades. El fabricante proporciona mitigaciones adicionales e información sobre estas vulnerabilidades en su aviso GES-2021-004.

Detalle
  • UR (Universal Relay) IED (Intelligent Electronic Devices), con variante de seguridad Basic, no permite la desactivación del Factory Mode, que se utiliza para el mantenimiento del IED por parte de un usuario Factory. Se ha asignado el identificador CVE-2021-27426 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2016-2183, CVE-2013-2566, CVE-1999-1085, CVE-2021-27422, CVE-2021-27418, CVE-2021-27420, CVE-2021-27428, CVE-2021-27424 y CVE-2021-27430.

Encuesta valoración