Múltiples vulnerabilidades en Unitree Robotics A1
Fecha de publicación 21/11/2023
Importancia
4 - Alta
Recursos Afectados
Unitree Robotics A1, versión 1.16.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a Unitree Robotics A1 1.16, las cuales han sido descubiertas por Alberto Miguel Diez y Adrián Campazas Vega del Grupo de Robótica de la Universidad de León.
A estas vulnerabilidades se les ha asignado las siguientes puntuaciones base CVSS v3.1, vectores del CVSS y tipos de vulnerabilidad CWE:
- CVE-2023-3103: CVSS v3.1: 8.0 | CVSS: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-290.
- CVE-2023-3104: CVSS v3.1: 5.7 | CVSS: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-306.
Solución
El robot afectado se encuentra en la etapa de discontinuación. El fabricante recomienda modificar la contraseña de red predeterminada, así como deshabilitar las funciones de red si no son necesarias.
Detalle
- CVE-2023-3103: vulnerabilidad de elusión de autenticación, cuya explotación podría permitir a un atacante local realizar un ataque Man-in-the-Middle (MITM) sobre el flujo de vídeo de la cámara del robot. Además, si se lleva a cabo un ataque MITM, es posible consumir los recursos del robot, lo que podría provocar una condición de denegación de servicio (DOS).
- CVE-2023-3104: vulnerabilidad de falta de autenticación. Un usuario local no autenticado es capaz de ver a través de las cámaras haciendo uso del servidor web debido a la falta de cualquier forma de autenticación.
Etiquetas
