Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en VGo Robot de Vecna

Fecha de publicación 25/04/2018
Importancia
4 - Alta
Recursos Afectados
  • VGo Robot, versiones 3.0.3.52164, 3.0.3.53662 y anteriores.
Descripción

El investigador Dan Regalado de Zingbox ha identificado varias vulnerabilidades de tipo inyección de comandos y transmisión de datos en claro que afectan a los productos VGo Robot de Vecna. Un potencial atacante remoto podría capturar las actualizaciones de firmware realizadas en red y conseguir ejecución remota de código.

[Actualización 22/10/2018] 

Se ha publicado 3 nuevas vulnerabilidades que podrían permitir la ejecución de código o de comandos así como la obtención de información sensible.

[Actualización 31/10/2018]

Se han publicado 3 nuevas vulnerabilidades cuya explotación exitosa podría permitir a un atacante:

  • Capturar actualizaciones de firmware a través del tráfico de la red
  • Extraer credenciales del firmware
  • Grabar conversaciones de video
  • Permitir la ejecución remota de código con privilegios de root
Solución

Vecna ha publicado una actualización recomendada para mitigar estas vulnerabilidades. Recomienda el siguiente proceso de actualización:

  • De forma predeterminada, VGo tiene activadas las actualizaciones automáticas, por lo que todas las actualizaciones se realizan automáticamente cuando está disponible el acceso a Internet. Si el VGo está apagado o en uso, aparecerá un mensaje en la pantalla que le preguntará si puede actualizarse en el próximo uso.
  • Si una unidad VGo tiene actualizaciones automáticas desactivadas, la actualización no se descargará (sin embargo, se mostrará un aviso sobre la actualización en la pantalla del VGo). Vecna recomienda que las actualizaciones automáticas estén activadas.

[Actualización 31/10/2018]

NCCIC recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades:

  • Crear credenciales seguras para las cuentas de cliente VGo XAMPP.
  • Minimizar las personas que tienen acceso al dispositivo.
  • Colocar cerraduras físicas sobre los puertos USB, y si es posible, desactivar los puertos USB cuando no estén en uso.
Detalle
  • Inyección de comandos: un potencial atacante en redes adyacentes podría realizar una inyección de comandos. Se ha reservado el identificador CVE-2018-8866 para esta vulnerabilidad.
  • Transmisión en claro: un potencial atacante podría capturar las actualizaciones de firmware desde una red adyacente. Se ha reservado el identificador CVE-2018-8860 para esta vulnerabilidad.

[Actualización 22/10/2018] 

  • Ejecución de código: un potencial atacante con acceso físico al dispositivo afectado podría realizar una ejecución de código con permisos de superusuario gracias a la ranura USB 2. Si el atacante utiliza un USB que contenga un fichero bajo el nombre startup.script en una ruta concreta, el contenido será ejecutado con permisos de superusuario. Se ha reservado el identificador CVE-2018-17931 para esta vulnerabilidad.
  • Obtención de información sensible: un potencial atacante con acceso físico al robot podría obtener información sensible gracias al uso de las ranuras USB, reiniciando el robot y logrando robar las credenciales del Wi-Fi que tenga el hospital. Se ha reservado el identificador CVE-2018-8858 para esta vulnerabilidad.
  • Ejecución de comandos: un potencial atacante podría ejecutar comandos en el sistema accediendo a la red donde se encuentra el dispositivo afectado gracias a un cliente XMPP autenticado. Se ha reservado el identificador CVE-2018-17933 para esta vulnerabilidad.

[Actualización 31/10/2018]

  • Autorización incorrecta: las cuentas de usuario pueden ejecutar comandos con privilegios de administrador. Se ha asignado el identificador CVE-2018-17933 para esta vulnerabilidad.
  • Control de acceso incorrecto: un atacante con acceso físico a VGo Robot, puede modificar scripts, pudiendo ejecutar código con privilegios de root. Se ha asignado el identificador CVE-2018-17931 para esta vulnerabilidad.
  • Credenciales protegidos de forma insuficiente: un atacante con acceso al firmware podría extraer credenciales. Se ha asignado el identificador CVE-2018-8858 para esta vulnerabilidad.

Encuesta valoración