Múltiples vulnerabilidades en varios productos de GE

Fecha de publicación 24/03/2021
Importancia
5 - Crítica
Recursos Afectados
  • MU320E, todas las versiones de firmware anteriores a 04A00.1;
  • Reason DR60, todas las versiones de firmware anteriores a 02A04.1.
Descripción

Tom Westenberg, investigador del Thales UK y el Thales OT Security Team, han reportado 6 vulnerabilidades a GE, 2 de severidad crítica, 3 altas y 1 baja, que podrían permitir a un atacante escalar privilegios, utilizar credenciales codificadas para tomar el control del dispositivo, tomar el control total del registrador digital de fallos (DFR) o ejecutar código de forma remota.

Solución

Actualizar los productos afectados a las siguientes versiones de firmware:

  • MU320E: 04A00.1 o posteriores;
  • Reason DR60: 02A04.1 o posteriores.
Detalle
  • El software afectado contiene una contraseña en texto claro que podría permitir a un atacante tomar el control de la unidad de fusión utilizando esta credencial. Se ha asignado el identificador CVE-2021-27452 para esta vulnerabilidad crítica.
  • El software afectado contiene una contraseña en texto claro que utiliza para su propia autenticación de entrada o para la comunicación de salida con componentes externos. Se ha asignado el identificador CVE-2021-27440 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-27448, CVE-2021-27438, CVE-2021-27454 y CVE-2021-27450.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-21-082-02) GE MU320E
ICS Advisory (ICSA-21-082-03) GE Reason DR60
Etiquetas