漏洞关键信息 1. 执行摘要 CVSS v3: 9.8 注意: 远程利用/低技能级别可利用 供应商: GE 设备: Reason DR60 漏洞: - 硬编码密码 (CVE-2021-27440) - 代码注入 (CVE-2021-27438) - 使用不必要的权限执行 (CVE-2021-27454) 2. 风险评估 成功利用这些漏洞可以允许攻击者完全控制数字故障记录器 (DFR),远程执行代码或升级权限。 3. 技术细节 受影响的产品: Reason DR60的所有固件版本早于02A04.1 漏洞概述: - 使用硬编码密码 (CWE-259): - 软件包含一个硬编码密码,用于其自身的认证或与外部组件通信。 - CVE-2021-27440 被分配为此漏洞,CVSS v3 基准评分为9.8。 - 代码注入 (CWE-94): - 软件使用外部影响的输入来构造代码段,但未能中和或不正确地中和可能改变代码语法或行为的特殊元素。 - CVE-2021-27438 被分配为此漏洞,CVSS v3 基准评分为8.8。 - 使用不必要的权限执行 (CWE-250): - 软件以高于最低要求的权限级别执行操作,这会引入新弱点或放大其他弱点的影响。 - CVE-2021-27454 被分配为此漏洞,CVSS v3 基准评分为7.8。 3. 背景 关键基础设施部门: 通信、关键制造业、能源、医疗和公共卫生、交通运输系统、水和废水系统 部署国家/地区: 全世界 公司总部位置: 美国 4. 缓解措施 厂商建议: 升级到02A04.1或更高版本的固件。 其他建议措施: - 最小化用于所有控制系统设备和/或系统网络的暴露,并确保它们不直接从互联网访问。 - 将控制系统网络和远程设备置于防火墙后,并将其与企业网络隔离。 - 使用安全方法,如虚拟专用网络(VPNs)进行远程访问,并确保其适当更新。 附加信息 研究者: Thales OT Security Team报告了这些漏洞给GE。 该信息被视为存档内容,可能不再反映CISA.gov当前的政策或程序。