PT-2020-12019 · Mir · Mir1000+4
Alias Robotics
+1
·
Publicado
2020-06-24
·
Atualizado
2021-09-14
·
CVE-2020-10270
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MiR100 (versões afetadas não especificadas)
MiR200 (versões afetadas não especificadas)
MiR250 (versões afetadas não especificadas)
MiR500 (versões afetadas não especificadas)
MiR1000 (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite o acesso ao Painel de Controle em um endereço IP fixo por meio de interfaces com e sem fio dentro da frota MiR. As credenciais padrão para a interface sem fio são bem conhecidas e amplamente divulgadas, e essas informações também estão disponíveis em Guias do Usuário e manuais anteriores distribuídos pelo fornecedor. Essa falha permite que ciberataques assumam remotamente o controle do robô e utilizem as interfaces de usuário padrão criadas pela MiR, tornando os ataques acessíveis até mesmo a invasores iniciantes. Ataques mais elaborados podem ser realizados ao contornar a autenticação e enviar solicitações de rede diretamente.
Recomendações
Para o MiR100, considere desativar as interfaces de usuário padrão até que uma correção esteja disponível.
Para o MiR200, restrinja o acesso ao Painel de Controle no endereço IP codificado para minimizar o risco de exploração.
Para o MiR250, MiR500 e MiR1000, se a falha for aplicável, evite usar as credenciais padrão e considere implementar mecanismos de autenticação personalizados.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mir100
Mir1000
Mir200
Mir250
Mir500