关键漏洞信息 1. 执行摘要 CVSS v3: 9.8 严重程度: 远程可利用/低技能水平可利用 供应商: GE 设备: MU320E 漏洞: - 使用硬编码密码 - 以不必要的权限执行 - 加密强度不足 2. 风险评估 成功利用这些漏洞可能允许攻击者提升不必要的权限,并使用硬编码凭证控制设备。 3. 技术细节 3.2.1 使用硬编码密码 CWE-259 软件包含硬编码密码,攻击者可利用这些凭据控制合并单元。 CVE: CVE-2021-27452 CVSS v3: 9.8 CVSS向量字符串: (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) 3.2.2 用不必要的权限执行 CWE-250 文件系统中的通信错误允许具有文件系统访问权限的对手提升至MU320E的权限。 CVE: CVE-2021-27448 CVSS v3: 7.8 CVSS向量字符串: (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) 3.2.3 加密强度不足 CWE-326 SSH服务器配置文件未实现某些最佳实践,可能会削弱SSH协议强度,导致额外的配置错误或在更大规模的攻击中被利用。 CVE: CVE-2021-27450 CVSS v3: 3.8 CVSS向量字符串: (AV:L/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N) 3.3 背景 关键基础设施部门: 多个 部署国家/地区: 全球 公司总部地址: 美国 3.4 研究员 Tom Westenberg of Thales UK将这些漏洞报告给GE。 4. 缓解措施 GE推荐MU320E用户升级至v04A00.1或更高版本的固件,以减轻这些漏洞。有关如何升级MU320E固件并验证其安装的说明,请参阅产品用户手册。