Múltiples vulnerabilidades en la implementación de DDS

Fecha de publicación 27/02/2023
Importancia
4 - Alta
Recursos Afectados

Distintas implementaciones de DDS (Data Distribution Service) utilizadas en varios fabricantes:

  • eProsima FastDDS,
  • ZettaScale Cyclone DDS,
  • ZettaScale Open DDS.
Descripción

Amrc-benmorrow, Gianluca Caizza, Ruffin White, Victor Mayoral Vilches y Mikael Arguedas han reportado a Alias Robotics 3 vulnerabilidades de severidad alta, que podrían permitir a un atacante comprometer y obtener el control total de los sistemas afectados.

Solución

Se recomienda aplicar las mitigaciones de seguridad descritas en la siguiente discusión.

Detalle

Las vulnerabilidades reportadas aplican al protocolo de comunicaciones DDS (Domain Distribution Service), ampliamente utilizado en robótica.

Existen unas vulnerabilidades en los recursos mencionados anteriormente, que podrían permitir a un atacante explotar atributos vulnerables en la configuración de la validación de certificados PKCS#7. Este problema se origina debido a una implementación no conforme de la verificación de documentos de permiso utilizada por algunos proveedores de DDS.

Se han asignado los siguientes identificadores CVE para cada producto afectado:

  • eProsima FastDDS: CVE-2023-24010;
  • ZettaScale Cyclone DDS: CVE-2023-24011;
  • ZettaScale Open DDS: CVE-2023-24012.

Encuesta valoración

Listado de referencias
RVD#3345: Data Distribution Service (DDS) Chain of Trust (CoT) violation
RVD#3346: Data Distribution Service (DDS) Chain of Trust (CoT) violation in Cyclone DDS
RVD#3347: Data Distribution Service (DDS) Chain of Trust (CoT) violation in Open DDS
Etiquetas