CISA advierte sobre fallas de seguridad en los dispositivos de administración de energía de GE

Las fallas podrían permitir que un atacante acceda a información confidencial, reinicie la UR, obtenga acceso privilegiado o cause una condición de denegación de servicio.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advierte sobre fallas de seguridad de gravedad crítica en la familia de dispositivos de administración de energía Universal Relay (UR) de GE.

Los dispositivos UR de GE son la «base de la administración de energía simplificada para la protección de activos críticos», según la compañía. Estos son dispositivos informáticos que permiten a los usuarios controlar la cantidad de energía eléctrica consumida por varios dispositivos. Los dispositivos UR permiten que los dispositivos subyacentes cambien a varios modos de energía (cada uno con varias características de uso de energía). GE ha publicado parches para las siguientes familias de dispositivos UR afectadas: B30, B90, C30, C60, C70, C95, D30, D60, F35, F60, G30, G60, L30, L60, L90, M60, N60, T35 y T60.

CISA advirtió que si no se actualizaban, los productos afectados podrían explotarse para permitir que un atacante acceda a información confidencial, reinicie la UR, obtenga acceso privilegiado o cause una condición de denegación de servicio.

Dado que los dispositivos controlan el flujo y la dirección de la energía eléctrica, el impacto de estas fallas se intensifica: «GE recomienda encarecidamente a los usuarios con versiones de firmware afectadas que actualicen sus dispositivos UR a la versión 8.10 del firmware UR o superior para resolver estas vulnerabilidades», según Alerta de CISA la semana pasada .

Defectos de seguridad de GE

En general, se repararon nueve vulnerabilidades en los dispositivos afectados. El más grave de estos ( CVE-2021-27426 ) tiene una puntuación CVSS de 9,8 sobre 10, lo que lo hace crítico. La falla se debe a la inicialización insegura de la variable predeterminada. Según una alerta de seguridad de IBM , una familia GE UR afectada podría permitir que un atacante remoto eluda las restricciones de seguridad, derivadas de la inicialización insegura de la variable predeterminada en el componente de Dispositivo Electrónico Inteligente (IED) de UR.

«Al enviar una solicitud especialmente diseñada, un atacante podría aprovechar esta vulnerabilidad para evitar las restricciones de acceso», según IBM. Según GE, la falla se puede explotar de forma remota y requiere un «bajo nivel de habilidad para explotar».

Otro problema de alta gravedad ( CVE-2021-27430 ) se debe al hecho de que el binario del cargador de arranque UR en las versiones 7.00, 7.01 y 7.02 incluye credenciales codificadas. Según IBM , un atacante local podría aprovechar esta vulnerabilidad para interrumpir la secuencia de arranque reiniciando la UR. La falla se ubica en 8.4 en la escala CVSS, por lo que es de alta gravedad.

“Además, un usuario con acceso físico al UR IED puede interrumpir la secuencia de arranque reiniciando el UR”, dijo CISA.

Otro problema de alta gravedad ( CVE-2021-27422 ) es que la interfaz del servidor web para los dispositivos afectados es compatible con UR sobre el protocolo HTTP, lo que permite la exposición de información confidencial sin autenticación, dijeron los investigadores.

Finalmente, los investigadores encontraron que una falla en la herramienta de configuración UR Setup basada en la web ( CVE-2021-27428 ) de las familias UR afectadas podría permitir que un atacante remoto cargue archivos arbitrarios.

«Al enviar una solicitud especialmente diseñada, un atacante remoto podría aprovechar esta vulnerabilidad para actualizar el firmware sin los privilegios adecuados», según un aviso de IBM.