PT-2020-12016 · Universal Robots · Universal Robots Control Box Cb 3.1+3
Víctor Mayoral Vilches
·
Publicado
2020-04-06
·
Atualizado
2021-12-20
·
CVE-2020-10267
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Caixa de controle CB 3.1 da Universal Robots, versões 1.10 a 1.12.1
Descrição
O problema diz respeito à falta de criptografia ou proteção para artefatos de propriedade intelectual instalados a partir da plataforma UR+, especificamente arquivos URCaps. Esses arquivos, armazenados como arquivos zip simples em ‘/root/.urcaps’, contêm lógica para adicionar funcionalidades aos robôs UR3, UR5 e UR10. Um invasor com acesso ao robô ou à sua rede poderia explorar essa vulnerabilidade, em combinação com outras falhas, para recuperar e extrair a propriedade intelectual instalada.
Recomendações
Para a caixa de controle CB 3.1 da Universal Robots, versões 1.10 a 1.12.1, considere restringir o acesso ao diretório ‘/root/.urcaps’ para minimizar o risco de exploração. Como solução temporária, limite o acesso de rede ao robô para reduzir a possibilidade de invasores recuperarem arquivos URCaps. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Missing Encryption of Sensitive Data
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ur10
Ur3
Ur5
Universal Robots Control Box Cb 3.1