Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en varios productos de GE

Múltiples vulnerabilidades en varios productos de GE

Fecha de publicación: 
24/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • MU320E, todas las versiones de firmware anteriores a 04A00.1;
  • Reason DR60, todas las versiones de firmware anteriores a 02A04.1.
Descripción: 

Tom Westenberg, investigador del Thales UK y el Thales OT Security Team, han reportado 6 vulnerabilidades a GE, 2 de severidad crítica, 3 altas y 1 baja, que podrían permitir a un atacante escalar privilegios, utilizar credenciales codificadas para tomar el control del dispositivo, tomar el control total del registrador digital de fallos (DFR) o ejecutar código de forma remota.

Solución: 

Actualizar los productos afectados a las siguientes versiones de firmware:

  • MU320E: 04A00.1 o posteriores;
  • Reason DR60: 02A04.1 o posteriores.
Detalle: 
  • El software afectado contiene una contraseña en texto claro que podría permitir a un atacante tomar el control de la unidad de fusión utilizando esta credencial. Se ha asignado el identificador CVE-2021-27452 para esta vulnerabilidad crítica.
  • El software afectado contiene una contraseña en texto claro que utiliza para su propia autenticación de entrada o para la comunicación de salida con componentes externos. Se ha asignado el identificador CVE-2021-27440 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2021-27448, CVE-2021-27438, CVE-2021-27454 y CVE-2021-27450.

Encuesta valoración