Plateforme
other
Composant
dashboard-server
La vulnérabilité CVE-2020-10265 concerne le serveur DashBoard présent dans les contrôleurs de robots Universal Robots. Ce serveur, accessible sur le port 29999, permet de contrôler des fonctions essentielles du robot, telles que le démarrage et l'arrêt des programmes, l'arrêt d'urgence et la réinitialisation. L'absence totale d'authentification ou d'autorisation rend ce serveur vulnérable à une prise de contrôle non autorisée. Cette vulnérabilité affecte les versions CB2 SW 1.4 et supérieures, CB3 SW 3.0 et supérieures, et e-series SW 5.0 et supérieures.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant non authentifié peut exploiter cette faille pour prendre le contrôle complet du robot. Cela inclut la capacité de démarrer ou d'arrêter des programmes, de déclencher des arrêts d'urgence, de réinitialiser le robot et potentiellement de compromettre des données sensibles stockées sur le contrôleur. La prise de contrôle d'un robot industriel peut entraîner des dommages matériels importants, des blessures physiques et des perturbations de la production. L'absence de protection rend l'exploitation particulièrement simple, augmentant le risque d'attaques ciblées ou d'exploitation par des acteurs malveillants.
Cette vulnérabilité a été rendue publique le 6 avril 2020. Bien qu'il n'y ait pas de preuve d'exploitation active à grande échelle, la simplicité de l'exploitation et l'impact potentiel en font une cible attrayante pour les attaquants. L'absence de mécanisme d'authentification facilite grandement l'exploitation. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information concernant cette vulnérabilité.
Organizations utilizing Universal Robots controllers in automated manufacturing processes, research facilities, or any environment where robot control is critical are at risk. Specifically, deployments with direct internet exposure or lacking network segmentation are particularly vulnerable. Legacy installations running older, unpatched firmware versions are also at heightened risk.
disclosure
Statut de l'Exploit
EPSS
0.36% (percentile 58%)
Vecteur CVSS
En l'absence d'une version corrigée spécifiée, la mitigation immédiate consiste à isoler les contrôleurs de robots Universal Robots affectés du réseau public. Il est crucial de mettre en place un pare-feu pour bloquer l'accès au port 29999 depuis l'extérieur du réseau de l'entreprise. Envisagez de désactiver temporairement le serveur DashBoard si cela n'est pas essentiel au fonctionnement du robot. Universal Robots devrait être contacté pour obtenir des recommandations spécifiques et des correctifs. Une fois un correctif disponible, appliquez-le immédiatement et vérifiez que le serveur DashBoard nécessite désormais une authentification robuste.
Ce CVE indique que le serveur DashBoard de Universal Robots ne requiert pas d'authentification, permettant le contrôle à distance non autorisé de fonctions critiques du robot. Pour résoudre ce problème, un mécanisme d'authentification et d'autorisation robuste doit être mis en œuvre afin de restreindre l'accès au serveur DashBoard aux seuls utilisateurs autorisés. Consulter la documentation de Universal Robots pour obtenir des instructions spécifiques sur la configuration de l'authentification et de l'autorisation.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-10265 is a critical vulnerability affecting Universal Robots Robot Controllers, allowing unauthorized control due to a missing authentication mechanism in the DashBoard server.
If you are using Universal Robots Robot Controllers with CB2 SW Version 1.4 or higher, CB3 SW Version 3.0 or higher, or e-series SW Version 5.0 or higher, and have not upgraded to a patched version, you are potentially affected.
The recommended fix is to upgrade to a patched version of the Universal Robots Robot Controller firmware provided by Universal Robots. Check their website for available updates.
While no confirmed active exploitation campaigns have been publicly reported, the ease of exploitation makes it a potential target for opportunistic attacks.
Refer to the Universal Robots website and security advisories for the latest information and updates regarding CVE-2020-10265.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.