Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos de General Electric

Múltiples vulnerabilidades en productos de General Electric

Fecha de publicación: 
07/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 

RT430, RT431 & RT434, todas las versiones de firmware anteriores a la 08A06.

Descripción: 

Tom Westenberg, de Thales UK, ha reportado estas vulnerabilidades a GE, que podrían permitir a un atacante remoto, autenticado, ejecutar código arbitrario en el sistema o interceptar y descifrar el tráfico encriptado.

Solución: 
  • Actualizar a la versión de firmware 08A06 o superior.

Las siguientes medidas de mitigación no garantizan una seguridad completa, pero deben considerarse hasta que se actualice el producto afectado:

  • Utilizar una protección fuerte de seguridad física y de red para evitar que un atacante llegue a la red local donde normalmente se instalan los Reason RT43X.
  • Bloquear los puertos TCP/IP 80 y 443 para bloquear el acceso HTTP/HTTPS a la interfaz web con los productos Reason RT43X, evitando todas las vulnerabilidades. Este bloqueo del puerto TCP/IP debe limitarse a la interfaz del puerto Ethernet donde Reason RT43X está conectado (por ejemplo, usando la lista de control de acceso (ACL)). De lo contrario, otras aplicaciones HTTP/HTTPS pueden verse afectadas.
  • Minimizar la exposición a la red de todos los dispositivos y/o subsistemas del sistema de control y asegurarse de que no sean accesibles desde Internet.
  • Analizar los eventos de seguridad para detectar a tiempo el tráfico/comunicación inesperado.
Detalle: 
  • Una vulnerabilidad de inyección de código en una de las páginas web, podría permitir a un atacante remoto, autenticado, ejecutar código arbitrario en el sistema. Se ha asignado el identificador CVE-2020-25197 para esta vulnerabilidad.
  • Un atacante, con acceso a la clave criptográfica codificada, podría interceptar y descifrar el tráfico cifrado a través de una conexión HTTPS. Se ha asignado el identificador CVE-2020-25193 para esta vulnerabilidad.

Encuesta valoración