United States Computer Emergency Readiness Team (US-CERT)は3月16日(米国時間)、「GE UR family|CISA」において、GE RUファミリーに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、機密情報へのアクセス、デバイスの再起動、特権アクセスの獲得、サービス妨害攻撃(DoS: Denial of Service attack)の被害を受けるおそれがある。

脆弱性に関する情報は次のページにまとまっている(要ログイン)。

脆弱性が存在するとされるプロダクトはGE RUファミリー(B30、B90、C30、C60、C70、C95、D30、D60、F35、F60、G30、G60、L30、L60、L90、M60、N60、T35、T60)とされており、それぞれ次のバージョンのファームウェアに各脆弱性が存在するとされている。

  • ファームウェアバージョン7.4x to 8.0x: SSHサポートに関する脆弱性
  • ファームウェアバージョン8.1xより前のすべてのバージョン: Webサーバの脆弱性
  • ファームウェアバージョン8.1xより前のすべてのバージョン: 意図しないファームウェアアップロードからの保護
  • ファームウェアバージョン8.1xより前のすべてのバージョン: ファクトリモードを無効化するためのプロビジョニング
  • ファームウェアバージョン8.1xより前のすべてのバージョン: "Last-key pressed"レジスタへのアクセス
  • ブートローダバージョン7.03/7.04より前のすべてのバージョン: ブートローダの脆弱性
  • GE UR family|CISA

    GE UR family|CISA

US-CERTから発行されたセキュリティアドバイザリはこれらGE RUファミリーの脆弱性の深刻度をリモートから悪用が可能で、かつ、簡単に利用できると評価し、CVSSv3スコアで9.8の緊急(Critical)と位置づけており注意が必要。世界中の通信、重要な製造、エネルギー、医療関連、公衆衛生、輸送システム、上下水道システムなどの産業分野が影響を受けると見られており注意が必要。

GEは該当するプロダクトを使用しているユーザーに対し、URデバイスのファームウェアをバージョン8.10以降へアップデートすることを強く推奨しているほか、さらにネットワークの多層防御手法を適用するなどしてデバイスを保護することを推奨している。

産業用デバイスの脆弱性を狙ったサイバー攻撃はここ最近特に活発になってきている。こうしたデバイスはセキュリティアップデートが適用されないまま長期にわたって使われることなどがあり注意が必要。