La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió sobre las deficiencias críticas de seguridad en la familia de dispositivos de administración de energía Universal Relay (UR) de GE.

«La explotación exitosa de estas vulnerabilidades podría permitir que un atacante acceda a información confidencial, reinicie la UR, obtenga acceso privilegiado o provoque una condición de denegación de servicio», dijo la agencia en un aviso publicado el 16 de marzo.

Los relés universales de GE permiten monitoreo y medición integrados, comunicaciones de alta velocidad y ofrecen administración de energía simplificada para la protección de activos críticos.

Las fallas, que afectan a varios relés de protección y control avanzados de UR, incluidos B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35 y T60, fueron abordados por GE con el lanzamiento de una versión actualizada del firmware UR (versión 8.10) disponible el 24 de diciembre de 2020.

Los parches resuelven un total de nueve vulnerabilidades, la más importante de las cuales se refiere a la inicialización de una variable predeterminada insegura, que se refiere a la inicialización de una variable interna en el software con un valor inseguro. La vulnerabilidad (CVE-2021-27426) también tiene una calificación de 9,8 sobre 10, lo que la convierte en un problema crítico.

«Al enviar una solicitud especialmente diseñada, un atacante podría explotar esta vulnerabilidad para eludir las restricciones de acceso», señaló IBM en su alerta. Una segunda vulnerabilidad grave se relaciona con las credenciales codificadas de forma rígida no utilizadas en el binario del cargador de arranque (CVE-2021-27430, puntaje CVSS 8.4), que podría ser explotado por un atacante «con acceso físico a la UR [Intelligent Electronic Device] puede interrumpir la secuencia de arranque reiniciando la UR».

GE también solucionó otra falla de alta gravedad (CVE-2021-27428, puntaje CVSS 7.5) que podría permitir que un usuario no autorizado actualice el firmware sin los privilegios apropiados.

Otras cuatro vulnerabilidades involucran dos validaciones de entrada incorrectas (CVE-2021-27418, CVE-2021-27420) y dos fallas relacionadas con la exposición de información confidencial a partes no autorizadas (CVE-2021-27422, CVE-2021-27424), lo que expone el dispositivo a los ataques de secuencias de comandos entre sitios, lo que permite a un atacante acceder a información crítica sin autenticación, e incluso hacer que el servidor web deje de responder.

Por último, se descubrió que todas las versiones de firmware de UR anteriores a la 8.1x usaban cifrado débil y algoritmos MAC para la comunicación SSH, lo que las hacía más vulnerables a los ataques de fuerza bruta.

«CISA recomienda a los usuarios que tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades», dijo la agencia. «Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control y asegurarse de que no sean accesibles desde Internet, [and] ubique las redes del sistema de control y los dispositivos remotos detrás de los firewalls y aíslelos de la red empresarial».