Platform
other
Component
rvd
Opgelost in
2.8.2
CVE-2020-10272 beschrijft een kritieke kwetsbaarheid in de Robot Operating System (ROS) installaties op MiR100, MiR200 en andere MiR robots. Deze kwetsbaarheid stelt aanvallers met netwerktoegang in staat om de robot te overnemen zonder authenticatie. De kwetsbaarheid treedt op in versies van ROS tot en met 2.8.1.1. Een upgrade naar versie 2.8.2 is beschikbaar om dit probleem te verhelpen.
De impact van deze kwetsbaarheid is significant. Een succesvolle aanval kan leiden tot volledige controle over de MiR robot, waardoor de aanvaller de beweging, acties en potentieel zelfs de integratie met andere systemen kan manipuleren. Dit kan resulteren in fysieke schade aan de robot zelf, schade aan de omgeving, of verstoring van de bedrijfsvoering. In combinatie met CVE-2020-10269 en CVE-2020-10271, kan de aanvaller de robot op afstand besturen en commando's uitvoeren. De kwetsbaarheid is vergelijkbaar met scenario's waarbij een onbeveiligde API toegang tot kritieke systemen mogelijk maakt, maar dan met directe fysieke controle over een robot.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 24 juni 2020. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid en de potentiële impact suggereren een medium risico op actieve exploitatie. Het is onwaarschijnlijk dat deze kwetsbaarheid op de CISA KEV catalogus staat, maar de combinatie met andere kwetsbaarheden (CVE-2020-10269 en CVE-2020-10271) verhoogt de algehele dreiging.
Organizations utilizing MiR robots in manufacturing, logistics, or warehousing environments are at risk. This includes facilities with shared internal networks, legacy robot deployments without network segmentation, and those relying on default ROS configurations without proper security hardening. Any environment where robots interact with sensitive data or critical infrastructure is particularly vulnerable.
• linux / server: Monitor network traffic for unusual connections to the robot's ROS services. Use ss or lsof to identify processes listening on exposed ports.
ss -tulnp | grep :11311 # ROS Master port• linux / server: Examine system logs (journalctl) for authentication failures or unauthorized access attempts to ROS services.
journalctl -u ros_master | grep -i authentication• generic web: Check for exposed ROS endpoints by attempting to access them via curl.
curl http://<robot_ip>:11311/get_node_infodisclosure
patch
Exploit Status
EPSS
0.47% (65% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van de ROS installatie naar versie 2.8.2 of hoger. Indien een upgrade momenteel niet mogelijk is, is het essentieel om netwerksegmentatie te implementeren om de robot te isoleren van onbetrouwbare netwerken. Dit kan door de robot in een apart VLAN te plaatsen en de toegang tot het netwerk te beperken tot geautoriseerde gebruikers en systemen. Daarnaast kan het configureren van firewalls om onnodige poorten te blokkeren helpen. Controleer de MiR documentatie voor specifieke aanbevelingen voor netwerkbeveiliging. Na de upgrade, verifieer de beveiliging door te controleren of de computationele grafiek niet langer onbeveiligd toegankelijk is via het netwerk.
Actualiseer de robotsoftware van MiR naar een versie die authenticatiemechanismen implementeert voor de ROS computationele grafiek. Raadpleeg de documentatie van de fabrikant (Mobile Industrial Robots A/S) voor de laatste beveiligingsupdates en installatie-instructies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2020-10272 is a critical vulnerability affecting MiR robots using ROS, allowing unauthorized control due to exposed computational graphs without authentication.
You are affected if you are using MiR robots running ROS versions less than or equal to 2.8.1.1 and have not upgraded.
Upgrade your MiR robots to version 2.8.2 or later to mitigate the vulnerability. Network segmentation is a temporary workaround.
While no public exploitation has been confirmed, the vulnerability's ease of exploitation and potential impact suggest a high probability of exploitation.
Refer to the MiR security advisory for detailed information and mitigation steps: [https://www.mir-robotics.com/security-advisory-ros-vulnerabilities/](https://www.mir-robotics.com/security-advisory-ros-vulnerabilities/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.