Plataforma
other
Componente
rvd
Corregido en
2.8.2
La vulnerabilidad CVE-2020-10272 afecta a los robots MiR100, MiR200 y otros que utilizan el Robot Operating System (ROS) con paquetes predeterminados. Estos paquetes exponen el grafo computacional sin autenticación, permitiendo a atacantes con acceso a la red interna tomar el control del robot. La vulnerabilidad se encuentra presente en versiones de ROS menores o iguales a v2.8.1.1 y se corrige en la versión 2.8.2.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante tomar el control completo de un robot MiR. Esto podría resultar en daños físicos al robot, a su entorno o incluso a personas cercanas. El atacante podría manipular el robot para realizar acciones no autorizadas, como colisionar con objetos, interrumpir procesos de producción o incluso causar daños intencionales. En combinación con las vulnerabilidades CVE-2020-10269 y CVE-2020-10271, la superficie de ataque se amplía considerablemente, permitiendo un control aún más completo sobre el robot y su entorno. La falta de autenticación facilita la explotación, ya que no requiere credenciales para acceder al grafo computacional.
La vulnerabilidad CVE-2020-10272 fue publicada el 24 de junio de 2020. No se ha reportado explotación activa a gran escala, pero la facilidad de explotación y el potencial impacto hacen que sea una preocupación significativa. La combinación con otras vulnerabilidades (CVE-2020-10269 y CVE-2020-10271) aumenta el riesgo. No se ha añadido a KEV hasta la fecha.
Organizations utilizing MiR robots in manufacturing, logistics, or warehousing environments are at risk. This includes facilities with shared internal networks, legacy robot deployments without network segmentation, and those relying on default ROS configurations without proper security hardening. Any environment where robots interact with sensitive data or critical infrastructure is particularly vulnerable.
• linux / server: Monitor network traffic for unusual connections to the robot's ROS services. Use ss or lsof to identify processes listening on exposed ports.
ss -tulnp | grep :11311 # ROS Master port• linux / server: Examine system logs (journalctl) for authentication failures or unauthorized access attempts to ROS services.
journalctl -u ros_master | grep -i authentication• generic web: Check for exposed ROS endpoints by attempting to access them via curl.
curl http://<robot_ip>:11311/get_node_infodisclosure
patch
Estado del Exploit
EPSS
0.47% (65% percentil)
Vector CVSS
La mitigación principal para CVE-2020-10272 es actualizar el Robot Operating System (ROS) a la versión 2.8.2 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de segmentación de red para aislar los robots MiR de la red corporativa. Esto limitará el acceso de atacantes externos al robot. Además, es crucial implementar mecanismos de autenticación robustos para acceder al grafo computacional de ROS. Esto podría incluir el uso de contraseñas fuertes, autenticación de dos factores o el uso de certificados digitales. Monitorear el tráfico de red hacia y desde los robots MiR puede ayudar a detectar actividad sospechosa. Tras la actualización, verificar la correcta implementación de la autenticación y la segmentación de red.
Actualizar el software del robot MiR a una versión que implemente mecanismos de autenticación para el grafo computacional de ROS. Consultar la documentación del fabricante (Mobile Industrial Robots A/S) para obtener las últimas actualizaciones de seguridad y las instrucciones de instalación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-10272 is a critical vulnerability affecting MiR robots using ROS, allowing unauthorized control due to exposed computational graphs without authentication.
You are affected if you are using MiR robots running ROS versions less than or equal to 2.8.1.1 and have not upgraded.
Upgrade your MiR robots to version 2.8.2 or later to mitigate the vulnerability. Network segmentation is a temporary workaround.
While no public exploitation has been confirmed, the vulnerability's ease of exploitation and potential impact suggest a high probability of exploitation.
Refer to the MiR security advisory for detailed information and mitigation steps: [https://www.mir-robotics.com/security-advisory-ros-vulnerabilities/](https://www.mir-robotics.com/security-advisory-ros-vulnerabilities/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.