Plateforme
other
Composant
rvd
Corrigé dans
2.8.2
La vulnérabilité CVE-2020-10272 affecte le Robot Operating System (ROS) utilisé par les robots MiR100, MiR200 et d'autres modèles MiR. Elle permet à un attaquant disposant d'un accès au réseau interne (sans fil ou filaire) de prendre le contrôle du robot. Cette faille, combinée à CVE-2020-10269 et CVE-2020-10271, permet un contrôle total de l'appareil. La version affectée est ROS 2.8.1.1 et versions antérieures, avec une correction disponible dans la version 2.8.2.
L'impact de cette vulnérabilité est critique car elle permet à un attaquant de prendre le contrôle complet d'un robot MiR. Un attaquant peut manipuler le robot pour effectuer des actions non autorisées, potentiellement causant des dommages matériels, des perturbations opérationnelles ou même des blessures. L'absence d'authentification rend l'exploitation particulièrement facile, car l'attaquant n'a besoin que d'un accès réseau. Cette vulnérabilité est particulièrement préoccupante dans les environnements industriels où les robots sont utilisés pour des tâches critiques. La combinaison avec CVE-2020-10269 et CVE-2020-10271 amplifie le risque, permettant une prise de contrôle plus complète du système robotique.
Cette vulnérabilité a été divulguée publiquement le 24 juin 2020. Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle, la simplicité de l'exploitation et la criticité des robots MiR dans de nombreux environnements industriels en font une cible potentielle. Il n'est pas listé sur le KEV de CISA à ce jour. L'absence d'authentification rend l'exploitation relativement simple, ce qui augmente le risque d'exploitation.
Organizations utilizing MiR robots in manufacturing, logistics, or warehousing environments are at risk. This includes facilities with shared internal networks, legacy robot deployments without network segmentation, and those relying on default ROS configurations without proper security hardening. Any environment where robots interact with sensitive data or critical infrastructure is particularly vulnerable.
• linux / server: Monitor network traffic for unusual connections to the robot's ROS services. Use ss or lsof to identify processes listening on exposed ports.
ss -tulnp | grep :11311 # ROS Master port• linux / server: Examine system logs (journalctl) for authentication failures or unauthorized access attempts to ROS services.
journalctl -u ros_master | grep -i authentication• generic web: Check for exposed ROS endpoints by attempting to access them via curl.
curl http://<robot_ip>:11311/get_node_infodisclosure
patch
Statut de l'Exploit
EPSS
0.47% (percentile 65%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour le Robot Operating System (ROS) vers la version 2.8.2 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en œuvre. Il est crucial de segmenter le réseau pour limiter l'accès aux robots MiR. L'implémentation d'un pare-feu et de règles de contrôle d'accès strictes peut aider à empêcher les accès non autorisés. Envisagez également de désactiver les services ROS inutiles et de renforcer la configuration de sécurité du réseau. Après la mise à jour, vérifiez que le graphe computationnel est correctement protégé par une authentification forte.
Mettre à jour le logiciel du robot MiR vers une version qui implémente des mécanismes d'authentification pour le graphe computationnel de ROS. Consulter la documentation du fabricant (Mobile Industrial Robots A/S) pour obtenir les dernières mises à jour de sécurité et les instructions d'installation.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2020-10272 is a critical vulnerability affecting MiR robots using ROS, allowing unauthorized control due to exposed computational graphs without authentication.
You are affected if you are using MiR robots running ROS versions less than or equal to 2.8.1.1 and have not upgraded.
Upgrade your MiR robots to version 2.8.2 or later to mitigate the vulnerability. Network segmentation is a temporary workaround.
While no public exploitation has been confirmed, the vulnerability's ease of exploitation and potential impact suggest a high probability of exploitation.
Refer to the MiR security advisory for detailed information and mitigation steps: [https://www.mir-robotics.com/security-advisory-ros-vulnerabilities/](https://www.mir-robotics.com/security-advisory-ros-vulnerabilities/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.