Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en los controladores de robot MiR en Ubuntu en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10279)
Fecha de publicación:
24/06/2020
Idioma:
Español
Los controladores de robot MiR (unidad de cómputo central) usan Ubuntu versión 16.04.2 como sistema operativo. Pensado para usos de escritorio, este sistema operativo presenta valores predeterminados no seguros para robots. Estas inseguridades incluyen una forma para usuarios de escalar su acceso más allá de lo que se les fue concedido por medio de una creación de archivos, condiciones de carrera de acceso, configuraciones no seguras del directorio de inicio y valores predeterminados que facilitan unos ataques de Denegación de Servicio (DoS)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
25/04/2022

Vulnerabilidad en un correo no deseado en el puerto 80 en la interfaz web en el servidor Apache (CVE-2020-10280)
Fecha de publicación:
24/06/2020
Idioma:
Español
El servidor Apache en el puerto 80 que aloja la interfaz web es vulnerable a un ataque de tipo DoS mediante un correo no deseado de encabezados HTTP incompletos, bloqueando efectivamente el acceso al panel
Gravedad CVSS v3.1: ALTA
Última modificación:
02/07/2020

Vulnerabilidad en los controladores MiR en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10273)
Fecha de publicación:
24/06/2020
Idioma:
Español
Los controladores MiR hasta las versiones de firmware 2.8.1.1 y anteriores, no cifran ni protegen de ninguna manera los artefactos de propiedad intelectual instalados en los robots. Este fallo permite a atacantes con acceso al robot o a la red del robot (en combinación con otros fallos) recuperar y exfiltrar fácilmente toda la propiedad intelectual y los datos instalados
Gravedad CVSS v3.1: ALTA
Última modificación:
21/12/2021

Vulnerabilidad en los tokens de acceso para la API REST en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10274)
Fecha de publicación:
24/06/2020
Idioma:
Español
Los tokens de acceso para la API REST son derivados directamente (codificación sha256 y base64) de las credenciales predeterminadas disponibles públicamente del Panel de Control (consulte CVE-2020-10270 para conocer los fallos relacionados). Este fallo en combinación con CVE-2020-10273 permite a cualquier atacante conectado a las redes del robot (por cable o inalámbrico) extraer todos los datos almacenados (por ejemplo, imágenes de mapeo en interiores) y metadatos asociados de la base de datos del robot
Gravedad CVSS v3.1: ALTA
Última modificación:
14/09/2021

Vulnerabilidad en mecanismo de restricción de arranque desde una imagen de Sistema Operativo en vivo en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10277)
Fecha de publicación:
24/06/2020
Idioma:
Español
No presenta ningún mecanismo que impida a un operador malo arrancar desde una imagen de Sistema Operativo en vivo, esto puede conllevar a una extracción de archivos confidenciales (como el archivo shadow) o una escalada de privilegios al añadir manualmente un nuevo usuario con privilegios de sudo en la máquina
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/09/2021

Vulnerabilidad en la contraseña para el PLC SICK de seguridad en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10276)
Fecha de publicación:
24/06/2020
Idioma:
Español
La contraseña para el PLC de seguridad es la predeterminada y, por lo tanto, fácil de encontrar (en manuales, etc.). Esto permite a un programa manipulado ser cargado al PLC de seguridad, deshabilitando efectivamente la parada de emergencia en caso de que un objeto esté demasiado cerca del robot. Una navegación y cualquier otro componente dependiente del escáner láser no están afectados (por lo tanto, es difícil de detectar antes de que ocurra algo), aunque la configuración del escáner láser puede también estar afectada alterando aún más la seguridad del dispositivo
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/07/2020

Vulnerabilidad en protección por contraseña en el Computador del BIOS onboard MiR (CVE-2020-10278)
Fecha de publicación:
24/06/2020
Idioma:
Español
El Computador del BIOS onboard MiR, no está protegido por contraseña, por lo tanto, permite a un Operador Malo modificar configuraciones como el orden de arranque. Esto puede ser aprovechado por un operador Malicioso para arrancar desde una Imagen en Vivo
Gravedad CVSS v3.1: MEDIA
Última modificación:
06/07/2020

Vulnerabilidad en los tokens de acceso para la API REST en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10275)
Fecha de publicación:
24/06/2020
Idioma:
Español
Los tokens de acceso para la API REST son derivados directamente desde las credenciales predeterminadas disponibles públicamente para la interfaz web. Dado un NOMBRE DE USUARIO y una CONTRASEÑA, la cadena de token está generada directamente con base64(USERNAME:sha256(PASSWORD)). Un atacante no autorizado dentro de la red puede utilizar las credenciales predeterminadas para calcular el token e interactuar con la API REST para filtrar, infiltrar o eliminar datos
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/07/2020

Vulnerabilidad en una de las interfaces inalámbricas en modo WiFi Master de MiR100, MiR200 y otros vehículos de MiR fleet en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10269)
Fecha de publicación:
24/06/2020
Idioma:
Español
Una de las interfaces inalámbricas dentro de MiR100, MiR200 y posiblemente (según el proveedor) otros vehículos de MiR fleet viene preconfigurada en modo WiFi Master (Punto de Acceso). Las credenciales de dicho Punto de Acceso inalámbrico presenta por defecto un SSID bien conocido y ampliamente difundido (MiR_RXXXX) y contraseñas (omitidas). Esta información también está disponible en Guías de Usuario y manuales anteriores que el proveedor ha distribuido. Hemos confirmado este fallo en MiR100 y MiR200 pero también podría aplicarse a MiR250, MiR500 y MiR1000
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/07/2020

Vulnerabilidad en una dirección IP embebida en MiR100, MiR200 y otros vehículos de MiR fleet en MiR100, MiR200 y otros robots MiR en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10270)
Fecha de publicación:
24/06/2020
Idioma:
Español
Fuera de las interfaces cableadas e inalámbricas dentro de MiR100, MiR200 y otros vehículos de MiR fleet, es posible acceder al Panel de Control en una dirección IP embebida. Las credenciales de dicha interfaz inalámbrica son predeterminadas para usuarios conocidos y ampliamente difundidos (omitidos) y contraseñas (omitidas). Esta información también está disponible en guías de usuario y manuales anteriores que el proveedor distribuyó. Este fallo permite a atacantes cibernéticos tomar el control del robot remotamente y hacer uso de las interfaces de usuario predeterminadas que MiR ha creado, reduciendo la complejidad de los ataques y poniéndolos a disposición de los atacantes a nivel de entrada. También se pueden establecer ataques más elaborados al borrar la autenticación y enviar peticiones de red directamente. Hemos confirmado este fallo en MiR100 y MiR200, pero según el proveedor, también podría aplicarse a MiR250, MiR500 y MiR1000
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/07/2020

Vulnerabilidad en los paquetes predeterminados del Robot Operating System (ROS) en MiR100, MiR200 y otros robots MiR en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10271)
Fecha de publicación:
24/06/2020
Idioma:
Español
MiR100, MiR200 y otros robots MiR usan los paquetes predeterminados del Robot Operating System (ROS) que exponen el gráfico computacional a todas las interfaces de red, inalámbricas y cableadas. Este es el resultado de una configuración incorrecta y puede ser mitigado ajustando el ROS de forma apropiada y/o aplicando parches según sea apropiado. Actualmente, puede accederse completamente al gráfico computacional del ROS desde los puertos expuestos cableados. En combinación con otros fallos como CVE-2020-10269, el gráfico computacional también puede ser recuperado e interactuado desde redes inalámbricas. Esto permite a un operador malicioso tomar el control de la lógica del ROS y, en consecuencia, del robot completo dado que las operaciones de MiR se centran en el framework (ROS)
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/07/2020

Vulnerabilidad en los paquetes predeterminados del Robot Operating System (ROS) en MiR100, MiR200 y otros robots MiR en Mobile Industrial Robots A/S, EasyRobotics, Enabled Robotics, UVD Robots (CVE-2020-10272)
Fecha de publicación:
24/06/2020
Idioma:
Español
MiR100, MiR200 y otros robots MiR usan los paquetes predeterminados del Robot Operating System (ROS) que exponen el gráfico computacional sin ningún tipo de autenticación. Esto permite a atacantes con acceso a las redes inalámbricas y cableadas internas tomar el control del robot perfectamente. En combinación con CVE-2020-10269 y CVE-2020-10271, este fallo permite a actores maliciosos comandar el robot cuando lo deseen
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
06/07/2020
Suscribirse a Vulnerabilidades