Plataforma
other
Componente
dashboard-server
A vulnerabilidade CVE-2020-10265 afeta o DashBoard Server dos controladores de robôs Universal Robots. Esta falha crítica de segurança ocorre devido à ausência de autenticação ou autorização no serviço DashBoard, exposto na porta 29999. Atacantes podem explorar essa vulnerabilidade para controlar remotamente funções essenciais do robô, como iniciar/parar programas, desligar, reiniciar a segurança e muito mais. As versões afetadas incluem CB2 até a versão 1.4, CB3 até a versão 3.0 e e-series até a versão 5.0.
A ausência de autenticação no DashBoard Server representa um risco significativo para a segurança das operações de robótica. Um atacante remoto, sem necessidade de credenciais, pode assumir o controle total do robô, comprometendo a produção, a segurança física e potencialmente causando danos a pessoas e equipamentos. A capacidade de iniciar ou interromper programas, desligar o robô ou reiniciar a segurança abre portas para interrupções maliciosas, sabotagem e até mesmo ataques físicos. A falta de proteção é comparável a deixar um sistema crítico desprotegido, permitindo acesso irrestrito a funções sensíveis.
A vulnerabilidade foi divulgada publicamente em 6 de abril de 2020. Não há informações disponíveis sobre a inclusão da CVE-2020-10265 no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de exploits públicos amplamente utilizados. A probabilidade de exploração é considerada moderada, dada a facilidade de acesso e a falta de autenticação, mas a ausência de exploits públicos conhecidos limita o risco imediato.
Organizations utilizing Universal Robots controllers in automated manufacturing processes, research facilities, or any environment where robot control is critical are at risk. Specifically, deployments with direct internet exposure or lacking network segmentation are particularly vulnerable. Legacy installations running older, unpatched firmware versions are also at heightened risk.
disclosure
Status do Exploit
EPSS
0.36% (percentil 58%)
Vetor CVSS
A mitigação imediata para CVE-2020-10265 é atualizar o firmware do controlador do robô para uma versão corrigida, assim que disponível. Enquanto a atualização não estiver disponível, considere implementar firewalls para bloquear o acesso externo à porta 29999, restringindo o acesso apenas a redes internas confiáveis. Implementar regras de WAF (Web Application Firewall) que monitorem e bloqueiem solicitações suspeitas direcionadas ao DashBoard Server também pode ajudar. Verifique a configuração de rede para garantir que o acesso ao DashBoard Server seja minimizado e controlado.
Este CVE indica que o servidor DashBoard da Universal Robots não requer autenticação, permitindo o controle remoto não autorizado de funções críticas do robô. Para solucionar este problema, deve-se implementar um mecanismo de autenticação e autorização robusto para restringir o acesso ao servidor DashBoard apenas a usuários autorizados. Consultar a documentação da Universal Robots para obter instruções específicas sobre como configurar a autenticação e autorização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2020-10265 is a critical vulnerability affecting Universal Robots Robot Controllers, allowing unauthorized control due to a missing authentication mechanism in the DashBoard server.
If you are using Universal Robots Robot Controllers with CB2 SW Version 1.4 or higher, CB3 SW Version 3.0 or higher, or e-series SW Version 5.0 or higher, and have not upgraded to a patched version, you are potentially affected.
The recommended fix is to upgrade to a patched version of the Universal Robots Robot Controller firmware provided by Universal Robots. Check their website for available updates.
While no confirmed active exploitation campaigns have been publicly reported, the ease of exploitation makes it a potential target for opportunistic attacks.
Refer to the Universal Robots website and security advisories for the latest information and updates regarding CVE-2020-10265.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.