В программном обеспечении Universal Robots PolyScope, используемом для управления промышленными роботами, выявлена уязвимость с идентификатором CVE-2026-8153. Она зарегистрирована в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-08153. Уязвимость связана с непринятием мер по нейтрализации специальных элементов при обработке команд через интерфейс Dashboard Server. Ошибка относится к типу CWE-78 - внедрение в команду операционной системы. Это позволяет нарушителю, действующему удалённо, выполнить произвольный код на целевой системе.
Детали уязвимости
Проблема затрагивает все версии PolyScope до 5.25.1 включительно. Производитель - датская компания Universal Robots, один из лидеров в сегменте коллаборативных роботов. Продукт используется на предприятиях различных отраслей: от машиностроения до фармацевтики. Уязвимость уже подтверждена вендором, а оценка опасности по шкале CVSS v3.1 составляет 9,8 балла из 10, то есть критический уровень.
Суть уязвимости кроется в недостаточной фильтрации входных данных, поступающих к Dashboard Server. Этот сервер предоставляет API для управления роботом - он обрабатывает команды, поступающие по сети без предварительной аутентификации. Злоумышленник, имеющий доступ к сети, где развёрнуто устройство, может отправить специально сформированный запрос, который будет интерпретирован как системная команда. Вектор атаки - инъекция. Поскольку для эксплуатации не требуются ни учётные данные, ни взаимодействие с пользователем (вектор CVSS: AV:N/AC:L/PR:N/UI:N), такая атака может быть проведена в автоматическом режиме, например, с помощью сканера уязвимостей или вредоносного скрипта.
Успешная эксплуатация уязвимости приводит к выполнению произвольного кода с правами, под которыми работает Dashboard Server. В типичной конфигурации это может быть учётная запись с высокими привилегиями, что открывает путь к полному контролю над роботом. Потенциальная атака может включать изменение конфигурации манипулятора, остановку производственного цикла, кражу технологических данных или развёртывание программ-вымогателей. В условиях умного завода компрометация одного робота может затронуть всю промышленную сеть.
Уязвимость обнаружили исследователи, однако их имена и организация не раскрываются в открытых источниках. Производитель уже выпустил исправление - обновление до версии PolyScope 5.25.1 и выше. В официальном бюллетене, опубликованном на странице разработчика, приводятся рекомендации по обновлению. Конкретные технические детали эксплуатации пока не опубликованы, но вендор подтверждает, что патч закрывает вектор инъекции. "Настоятельно рекомендуем всем пользователям установить обновление как можно скорее", - говорится в сообщении Universal Robots.
Наличие готового эксплойта на данный момент не подтверждено, но с учётом критического уровня опасности и простоты эксплуатации (единственное требование - сетевая доступность), появление публичного прототипа атаки - вопрос времени. Организациям, использующим PolyScope, необходимо провести инвентаризацию устройств, оценить их доступность из внешних и внутренних сетей и в приоритетном порядке применить патч. В качестве временной меры защиты можно изолировать Dashboard Server за сетевым экраном, ограничив доступ только доверенными узлами, но полное устранение рисков обеспечивает только обновление.
Это не первый случай, когда в продуктах Universal Robots обнаруживаются уязвимости. В 2023 году компания уже исправляла проблему с недостаточной аутентификацией в той же подсистеме Dashboard. Текущий инцидент демонстрирует системную проблему: производители промышленного оборудования зачастую не уделяют достаточного внимания безопасности своих API. Поскольку роботы всё активнее подключаются к корпоративным сетям и интернету вещей, подобные уязвимости становятся точками входа для целевых атак на промышленность. Операторам критической инфраструктуры стоит учитывать такие риски при проектировании сегментации сетей и планов реагирования на угрозы.
Ссылки
- https://bdu.fstec.ru/vul/2026-08153
- https://nvd.nist.gov/vuln/detail/CVE-2026-8153
- https://www.universal-robots.com/developer/communication-protocol/dashboard-server/
