प्लेटफ़ॉर्म
other
घटक
dashboard-server
CVE-2020-10265 Universal Robots Robot Controllers में एक गंभीर प्रमाणीकरण त्रुटि है। यह त्रुटि हमलावरों को रोबोट के महत्वपूर्ण कार्यों, जैसे प्रोग्राम शुरू/बंद करना, शटडाउन और सुरक्षा रीसेट को नियंत्रित करने की अनुमति देती है। यह CB2 सॉफ़्टवेयर संस्करण 1.4 और उससे ऊपर, CB3 सॉफ़्टवेयर संस्करण 3.0 और उससे ऊपर, और e-सीरीज़ सॉफ़्टवेयर संस्करण 5.0 और उससे ऊपर वाले संस्करणों को प्रभावित करता है। इस त्रुटि को ठीक करने के लिए, निर्माताओं द्वारा जारी किए गए सुरक्षा अपडेट को लागू करें।
CVE-2020-10265 एक गंभीर भेद्यता है क्योंकि यह हमलावरों को रोबोट के नियंत्रण को पूरी तरह से हासिल करने की अनुमति देता है। हमलावर रोबोट को अनधिकृत कार्य करने, उत्पादन प्रक्रियाओं को बाधित करने या यहां तक कि रोबोट को नुकसान पहुंचाने के लिए उपयोग कर सकते हैं। प्रमाणीकरण की कमी के कारण, किसी भी प्रकार के प्रमाणीकरण या प्राधिकरण के बिना रोबोट के कार्यों को नियंत्रित किया जा सकता है। यह विशेष रूप से उन वातावरणों में चिंताजनक है जहां रोबोट महत्वपूर्ण कार्यों को स्वचालित रूप से करते हैं, जैसे कि विनिर्माण या रसद। इस भेद्यता का शोषण रोबोट के संचालन को बाधित कर सकता है, जिससे महत्वपूर्ण वित्तीय नुकसान हो सकता है और सुरक्षा जोखिम बढ़ सकता है।
CVE-2020-10265 को सार्वजनिक रूप से 6 अप्रैल, 2020 को खुलासा किया गया था। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इसके शोषण को आसान बनाते हैं। CISA KEV सूची में इस CVE को शामिल किया गया है, जो इसके उच्च जोखिम को दर्शाता है। सक्रिय शोषण के बारे में कोई जानकारी उपलब्ध नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, इसका शोषण होने की संभावना है।
Organizations utilizing Universal Robots controllers in automated manufacturing processes, research facilities, or any environment where robot control is critical are at risk. Specifically, deployments with direct internet exposure or lacking network segmentation are particularly vulnerable. Legacy installations running older, unpatched firmware versions are also at heightened risk.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.36% (58% शतमक)
CVSS वेक्टर
CVE-2020-10265 के प्रभाव को कम करने के लिए, Universal Robots द्वारा जारी किए गए नवीनतम सुरक्षा अपडेट को तुरंत लागू करना महत्वपूर्ण है। यदि अपडेट तुरंत उपलब्ध नहीं हैं, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को पोर्ट 29999 पर ट्रैफ़िक को फ़िल्टर करने के लिए कॉन्फ़िगर किया जा सकता है, जिससे अनधिकृत पहुंच को रोका जा सके। नेटवर्क सेगमेंटेशन का उपयोग करके रोबोट को अन्य नेटवर्क से अलग करना भी एक प्रभावी शमन रणनीति है। इसके अतिरिक्त, रोबोट के डैशबोर्ड सर्वर तक पहुंच को केवल अधिकृत कर्मियों तक सीमित करना चाहिए। अपडेट के बाद, यह सुनिश्चित करने के लिए कि प्रमाणीकरण लागू किया गया है और अनधिकृत पहुंच को रोका गया है, रोबोट के डैशबोर्ड सर्वर का परीक्षण करें।
यह CVE इंगित करता है कि यूनिवर्सल रोबोट डैशबोर्ड सर्वर को प्रमाणीकरण की आवश्यकता नहीं है, जिससे रोबोट के महत्वपूर्ण कार्यों का अनधिकृत दूरस्थ नियंत्रण संभव हो जाता है। इस समस्या को ठीक करने के लिए, डैशबोर्ड सर्वर तक पहुंच को केवल अधिकृत उपयोगकर्ताओं तक सीमित करने के लिए एक मजबूत प्रमाणीकरण और प्राधिकरण तंत्र लागू किया जाना चाहिए। प्रमाणीकरण और प्राधिकरण को कॉन्फ़िगर करने के बारे में विशिष्ट निर्देशों के लिए यूनिवर्सल रोबोट के दस्तावेज़ देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2020-10265 Universal Robots Robot Controllers में एक गंभीर प्रमाणीकरण त्रुटि है जो हमलावरों को रोबोट के कार्यों को नियंत्रित करने की अनुमति देती है।
यदि आप CB2 SW 1.4+, CB3 SW 3.0+, या e-सीरीज़ SW 5.0+ का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Universal Robots द्वारा जारी किए गए नवीनतम सुरक्षा अपडेट को लागू करें। यदि अपडेट उपलब्ध नहीं हैं, तो WAF का उपयोग करें।
सक्रिय शोषण के बारे में कोई जानकारी उपलब्ध नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, इसका शोषण होने की संभावना है।
Universal Robots की वेबसाइट पर जाएं और सुरक्षा एडवाइजरी खोजें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।