CRITICALCVE-2020-10272CVSS 10

RVD#2554: MiR ROS 演算グラフは認証メカニズムを提供しない

プラットフォーム

other

コンポーネント

rvd

修正版

2.8.2

AI Confidence: highNVDEPSS 0.5%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2020-10272は、Robot Operating System (ROS)のデフォルト設定における認証なしの計算グラフ公開という脆弱性です。この脆弱性により、MiR100、MiR200などのMiRロボットが内部ネットワークへのアクセスを持つ攻撃者によって制御される可能性があります。影響を受けるバージョンはROS 2.8.1.1以前ですが、ROS 2.8.2以降に修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がMiRロボットの内部ネットワークにアクセスできる場合に深刻な影響をもたらします。認証なしで計算グラフにアクセスできるため、攻撃者はロボットの動作を完全に制御し、意図しない動作を引き起こす可能性があります。例えば、ロボットを危険な場所に移動させたり、重要なデータを盗んだり、他のシステムへの攻撃の足がかりとして利用したりすることが考えられます。CVE-2020-10269やCVE-2020-10271と組み合わせることで、攻撃者はロボットを自由に操作することが可能になります。

悪用の状況

この脆弱性は、CISA KEVカタログに登録されています。公開されているPoCは確認されていませんが、ROSの脆弱性は過去に悪用事例があるため、注意が必要です。攻撃者は、内部ネットワークへの侵入を試み、この脆弱性を利用してロボットを制御する可能性があります。

リスク対象者翻訳中…

Organizations utilizing MiR robots in manufacturing, logistics, or warehousing environments are at risk. This includes facilities with shared internal networks, legacy robot deployments without network segmentation, and those relying on default ROS configurations without proper security hardening. Any environment where robots interact with sensitive data or critical infrastructure is particularly vulnerable.

検出手順翻訳中…

• linux / server: Monitor network traffic for unusual connections to the robot's ROS services. Use ss or lsof to identify processes listening on exposed ports.

ss -tulnp | grep :11311 # ROS Master port

• linux / server: Examine system logs (journalctl) for authentication failures or unauthorized access attempts to ROS services.

journalctl -u ros_master | grep -i authentication

• generic web: Check for exposed ROS endpoints by attempting to access them via curl.

curl http://<robot_ip>:11311/get_node_info

攻撃タイムライン

2020-06-24Disclosure
disclosure
2020-06-24Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.47% (65% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントrvd

ベンダーMobile Industrial Robots A/S

影響範囲修正版

v2.8.1.1 and before – v2.8.1.1 and before2.8.2

弱点分類 (CWE)

CWE-306

タイムライン

予約済み2020-03-10
公開日2020-06-24
更新日2024-09-17
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずROSのバージョンを2.8.2以降にアップグレードすることが推奨されます。アップグレードが困難な場合は、ネットワークセグメンテーションを実施し、ロボットへのアクセスを制限することを検討してください。また、WAF (Web Application Firewall)やプロキシサーバーを使用して、不正なアクセスを検知・遮断するルールを実装することも有効です。さらに、ロボットのログを監視し、異常なアクティビティを早期に発見できるようにすることも重要です。アップグレード後、ロボットの動作を監視し、意図しない動作がないか確認してください。

修正方法

MiR ロボットのソフトウェアを、ROS 演算グラフに対して認証メカニズムを実装するバージョンにアップデートしてください。最新のセキュリティアップデートとインストール手順については、製造元のドキュメント (Mobile Industrial Robots A/S) を参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-10272 — 認証なしのROSグラフ公開による制御奪取とは何ですか？

CVE-2020-10272は、MiRロボットがROSのデフォルト設定により認証なしで計算グラフを公開する脆弱性です。攻撃者は内部ネットワークからアクセスし、ロボットを制御する可能性があります。

CVE-2020-10272による制御奪取に影響を受けますか？

MiR100、MiR200などのMiRロボットを使用し、ROSのバージョンが2.8.1.1以前である場合、影響を受けます。

CVE-2020-10272を修正するにはどうすればよいですか？

ROSのバージョンを2.8.2以降にアップグレードしてください。アップグレードが難しい場合は、ネットワークセグメンテーションやWAFの導入を検討してください。

CVE-2020-10272は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、ROSの脆弱性は過去に悪用事例があるため、注意が必要です。

CVE-2020-10272に関するMiRの公式アドバイザリはどこで入手できますか？

MiRの公式ウェブサイトでCVE-2020-10272に関するアドバイザリをご確認ください。