協働ロボット(コボット)を専門とするデンマーク企業のUniversal Robotsは、そのオペレーティングシステムの1つに影響する重要な脆弱性にパッチを当てました。
先週、サイバーセキュリティ機関CISAとUniversal Robotsが発表したアドバイザリーにより、同社のコボットに電力を供給し制御するために設計されたオペレーティングシステムおよびGUIであるPolyScope 5が、Dashboard Serverインターフェースのオペレーティングシステムコマンドインジェクション脆弱性CVE-2026-8153の影響を受けていることが明らかになりました。
CVSSスコア9.8で重大として評価されたこの欠陥は、PolyScope 5.25.1でパッチされています。
「Dashboard Serverはユーザーが制御する入力を受け付け、特殊要素の適切な中和なしで基になるオペレーティングシステムに渡します」とUniversal Robotsは説明しました。「Dashboard Serverポートへのネットワークアクセスを持つ認証されていない攻撃者は、ロボットのオペレーティングシステム上で実行されるコマンドを作成でき、リモートコード実行につながり、機密性、整合性、および可用性に対して高い影響を及ぼす制御装置の侵害をもたらします。」
ベンダーはそのアドバイザリーで「CVE-2026-8153のリモート悪用には、ロボットのDashboard Serverを有効にする必要があり、そのポートに攻撃者がアクセス可能である必要があります。URロボットはインターネットから直接アクセスできるように設計されておらず、直接の受信インターネットアクセスは通常、企業のファイアウォールによって防止されます」と述べました。
ただし、CVE-2026-8153の発見と報告で功績があるClaroty のセキュリティ研究者Vera Mensは、多くの産業用ロボットはリモート管理インターフェースを持たないが、Universal Robotsによるコボットは必要に応じて使用できるEthernetポート付きの制御ボックスを持っていることに注目しました。
「顧客はこのオプションを使用して中央管理ユニットに情報を配信したり、MODBUSやEtherNet/IPなどのレガシーフィールドプロトコルを使用して他のOT機器を操作したり、コボットをリモートで制御したりできます」とMensはSecurityWeekに語りました。「これらのネットワークは一般的に公開されていませんが、しばしばフラットで適切なセグメンテーションが欠けており、したがって最初の足がかりを得ることは難しくないかもしれません。」
フラットでセグメント化されていないネットワークでは、攻撃者は脆弱性を悪用して1つ以上のコボットを侵害する可能性があります。
「コボットのアプリケーション層に電力を供給する制御ボックスは、イーサネットおよびシリアルポートを介して様々な他の機器に接続された汎用Linuxコンピュータです。最も軽度の結果は単一のコボットの完全な制御(人間に危害を与える可能性があります)ですが、影響はコボット全体のフリートとその周辺機器の侵害にエスカレートする可能性があります」とMensは警告しました。
翻訳元: https://www.securityweek.com/critical-vulnerability-exposes-industrial-robot-fleets-to-hacking/
