Alerta Masiva de Ciberseguridad por múltiples vulnerabilidades en la implementación de DDS ampliamente utilizado en robótica.
- 28/02/2023
- 47
Con fecha 27 de febrero del 2023, han sido descubiertas múltiples vulnerabilidades de importancia Alta en implementaciones de DDS (Data Distribution Service) utilizadas por varios fabricantes:
Recursos afectados:
Distintas implementaciones de DDS (Data Distribution Service) utilizadas en varios fabricantes:
- eProsima FastDDS,
- ZettaScale Cyclone DDS,
- ZettaScale Open DDS.
Detalles
Las vulnerabilidades reportadas aplican al protocolo de comunicaciones DDS (Domain Distribution Service), ampliamente utilizado en robótica.
Existen vulnerabilidades en los recursos mencionados anteriormente, que podrían permitir a un atacante explotar atributos vulnerables en la configuración de la validación de certificados PKCS#7. Este problema se origina debido a una implementación no conforme de la verificación de documentos de permiso utilizada por algunos proveedores de DDS.
Se han asignado los siguientes identificadores CVE para cada producto afectado:
- eProsima FastDDS: CVE-2023-24010;
- ZettaScale Cyclone DDS: CVE-2023-24011;
- ZettaScale Open DDS: CVE-2023-24012.
Solución:
Se recomienda aplicar las mitigaciones de seguridad descritas en el siguiente enlace:
https://github.com/ros2/sros2/issues/282
Referencias
RVD#3345: Data Distribution Service Chain of Trust violation https://github.com/aliasrobotics/RVD/issues/3345
RVD#3346: Data Distribution Service Chain of Trust violation in Cyclone DDS https://github.com/aliasrobotics/RVD/issues/3346
RVD#3347: Data Distribution Service Chain of Trust violation in Open DDS https://github.com/aliasrobotics/RVD/issues/3347