Selon un billet technique publié par Olivier Laflamme (26 février 2026), deux vulnérabilités critiques de type RCE affectent les robots Unitree Go2, co‑découvertes avec Ruikai (Pwn0), avec un calendrier de divulgation coordonné avec le Security Response Center de Unitree.

— CVE-2026-27509. Nature: RCE non authentifiée via DDS. Sur le firmware V1.1.7, l’abus du DataWriter DDS exposé sur les topics rt/api/programming_actuator/* permet l’exécution arbitraire de Python en root. Le système Eclipse CycloneDDS (v0.10.2) est utilisé sans DDS-Sec; tout hôte du réseau peut rejoindre le domaine 0 et publier des messages structurés (Request_…) vers les topics concernés. La surface inclut des topics API (ex. programming_actuator request/response) découverts via multicast DDS, puis échangés en unicast.

— CVE-2026-27510. Nature: Altération de la base locale Android menant à une RCE. Sur V1.1.11, la modification des blocs Blockly préprogrammés stockés dans la base de l’application mobile cible le même actuator_manager, permettant à nouveau une exécution de code à distance. Les deux PoC sont déclenchés via une commande sur la manette physique du robot, rendant la persistance effective. 🤖🔓

— Versions affectées. Confirmées: CVE-2026-27509: V1.1.7, V1.1.8, V1.1.9, V1.1.11 (EDU) ; CVE-2026-27510: V1.1.7, V1.1.8, V1.1.9, V1.1.11. D’autres versions (1.0.24–1.1.4) et produits pourraient être concernés sans confirmation exhaustive. Côté correctifs, Unitree a poussé un OTA V1.1.13 corrigeant CVE-2026-27510 et renforçant la validation des scripts du marketplace. CVE-2026-27509 pourrait ne pas être corrigée sur certaines déclinaisons EDU (sujet à évolution).

— Divulgation et coordination. Les chercheurs ont contacté Unitree fin octobre 2025; validations techniques par l’éditeur en novembre 2025; un partage non autorisé du rapport a brièvement eu lieu sur X puis retiré. Des CVE ont été réservées via VulnCheck (20 fév. 2026). Publication du billet le 27 fév. 2026, après notification et avant la mise à disposition des patchs le 24 fév. 2026 pour CVE-2026-27510.

— TTPs et artefacts.

  • TTPs: abus de DDS/RTPS sans authentification (domaine 0), utilisation de DataWriter sur rt/api/programming_actuator/* pour piloter l’actuator_manager; altération de la base de l’app Android (blocs Blockly) pour obtenir une primitive RCE; déclenchement par manette pour la persistance; architecture réseau avec interfaces séparées (LAN externe et réseau interne du robot) et commutation multicast→unicast après découverte.
  • Artefacts techniques: Eclipse CycloneDDS v0.10.2; topics notables: rt/api/programming_actuator/request|response, rt/programming_actuator/command, et de multiples topics rt/api/* visibles sur V1.1.7.

Il s’agit d’un compte-rendu technique détaillé visant à documenter les vulnérabilités, leur exploitation, les versions affectées et la chronologie de la divulgation.

🧠 TTPs et IOCs détectés

TTP

Abus de DDS/RTPS sans authentification (domaine 0), utilisation de DataWriter sur rt/api/programming_actuator/* pour piloter l’actuator_manager, altération de la base de l’app Android (blocs Blockly) pour obtenir une primitive RCE, déclenchement par manette pour la persistance, architecture réseau avec interfaces séparées (LAN externe et réseau interne du robot) et commutation multicast→unicast après découverte.

IOC

Aucun hash, domaine ou IP spécifique n’est mentionné dans l’analyse fournie.

🔗 Source originale : https://boschko.ca/unitree-go2-rce/