Lander Usategui

**Nome do software vulnerável e versões afetadas** MiR100, MiR200 e outros robôs MiR (versões afetadas não especificadas) **Descrição** O problema está relacionado aos pacotes padrão do Robot Operating System (ROS) que expõem o gráfico computacional a todas as interfaces de rede. Essa exposição se deve a uma configuração incorreta e pode ser explorada por operadores mal-intencionados para assumir o controle da lógica do ROS e, consequentemente, do robô como um todo. O gráfico computacional do ROS pode ser acessado integralmente a partir das portas expostas com fio. Em combinação com outras falhas, o gráfico computacional também pode ser obtido e interagir com redes sem fio. **Recomendações** Para o MiR100, MiR200 e outros robôs MiR, configure o ROS adequadamente para mitigar o problema. Aplique patches personalizados conforme apropriado para proteger o gráfico computacional do ROS. Restrinja o acesso às portas expostas com fio para minimizar o risco de exploração. Considere desativar interfaces de rede desnecessárias para reduzir a superfície de ataque até que uma configuração adequada ou um patch seja aplicado.

MiR100, MiR200 and other MiR robots use the Robot Operating System (ROS) default packages exposing the computational graph without any sort of authentication. This allows attackers with access to the internal wireless and wired networks to take control of the robot seamlessly. In combination with CVE-2020-10269 and CVE-2020-10271, this flaw allows malicious actors to command the robot at desire.

**Nome do software vulnerável e versões afetadas** Não há menção a nenhum software ou versão específica nas descrições fornecidas. **Descrição** O problema está relacionado à falta de um mecanismo para impedir a inicialização a partir de uma imagem de sistema operacional ao vivo, o que pode levar à extração de arquivos confidenciais, como o arquivo shadow, ou à escalada de privilégios por meio da adição manual de um novo usuário com privilégios sudo na máquina. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MiR's Computer (versões afetadas não especificadas) **Descrição** O BIOS integrado ao MiR's Computer não está protegido por senha, permitindo que um operador mal-intencionado modifique configurações como a ordem de inicialização. Isso pode ser aproveitado para inicializar a partir de uma imagem Live. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Apache HTTP Server (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite um ataque de negação de serviço (DoS) por meio do envio em massa de cabeçalhos HTTP incompletos ao servidor Apache na porta 80, que hospeda a interface web, bloqueando efetivamente o acesso ao painel de controle. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.