Контроллеры Universal Robots подвержены опасным уязвимостям
Проблемы затрагивают версии контроллеров CB 3.1 и SW 3.4.5-100.
В контроллерах для управления промышленными роботами производства Universal Robots выявлены две уязвимости, проэксплуатировав которые атакующий может выполнить произвольный код на устройстве. Проблемы затрагивают версии контроллеров CB 3.1 и SW 3.4.5-100. Первая уязвимость (CVE-2018-10633) заключается в наличии вшитых учетных данных, с помощью которых атакующий может переустановить пароль на устройстве. Проблема получила оценку в 7,3 балла классификации CVSS v3.
С помощью второй уязвимости (CVE-2018-10635) злоумышленник с доступом к портам 30001/TCP — 30003/TCP может выполнить произвольный код и получить доступ с правами суперпользователя к устройству.
В настоящее время методов предотвращения эксплуатации уязвимости не существует. В качестве мер предосторожности производитель рекомендует разрешить доступ к панели управления роботами только доверенным пользователям, подключать роботов к сети только в случае, если этого требует приложение, а также не подключать системы напрямую к интернету.