изображение: recraft
Исследователи нашли критическую дыру в операционной системе PolyScope 5, на которой работают коллаборативные роботы Universal Robots. Уязвимости присвоен идентификатор CVE-2026-8153 и оценка CVSS 9,8 из 10 — почти максимум. Через сетевой порт Dashboard Server неавторизованный злоумышленник может внедрять команды и заставлять промышленную машину делать что угодно с полными системными привилегиями.
Под ударом оказались все версии PolyScope 5 до релиза 5.25.1. На этой системе строится управление коллаборативными роботами — машинами, которые проектировались для работы бок о бок с персоналом цехов и сборочных линий. То есть под контролем оказывается не абстрактный сервер, а железо, которое физически двигается рядом с людьми.
Механика атаки выглядит почти примитивно. Сервер панели управления принимает пользовательский ввод и передаёт его операционной системе, не фильтруя специальные элементы команд. Для злоумышленника это знакомая схема command injection, отработанная на веб-приложениях и базах данных за последние двадцать лет. Разница в том, что объектом стал не код, а механический манипулятор.
Что именно получает атакующий в случае успешной эксплуатации:
- выполнение произвольных команд внутри базовой ОС робота;
- полные системные привилегии без прохождения авторизации;
- возможность управлять движениями машины напрямую;
- доступ к настройкам и логике работы манипулятора.
Обнаружила проблему Вера Менс из команды Claroty Team82. Раскрытие координировалось через CISA и платформу VINCE от CERT/CC. Universal Robots выпустила исправление в версии PolyScope 5.25.1 и просит клиентов обновиться как можно быстрее.
Дальше начинается слабое место всей отрасли промышленной автоматизации. Патч сам не установится. Заводские системы обновляются медленно, потому что любое вмешательство в производственную линию означает остановки, тесты и финансовые риски. Между выходом фикса и реальным обновлением парка оборудования спокойно проходят недели, а иногда месяцы.
Почему обновление на производстве буксует:
- остановка линии напрямую бьёт по выручке;
- каждое изменение требует проверки совместимости;
- многие интеграторы работают по жёстким регламентам;
- ответственность за сбой после апдейта никто не хочет брать.
Стоит обратить внимание на оговорку самого производителя. Universal Robots уточняет, что их устройства не предназначены для прямого выхода в интернет, а входящие подключения обычно отсекаются корпоративными файрволами. Звучит успокаивающе ровно до того момента, пока угроза не оказывается уже внутри периметра.
Если злоумышленник проник в производственный сегмент через фишинговое письмо, заражённую рабочую станцию или другую дыру, робот превращается в удобную мишень. Компания прямо предупредила клиентов и интеграторов, что защищённость сети напрямую определяет защищённость самого робота.
Картину портит реальное состояние заводских сетей. Там до сих пор массово встречаются:
- слабая сегментация;
- устаревшие и неподдерживаемые системы;
- смешение офисной и промышленной инфраструктуры;
- отсутствие нормального мониторинга трафика.
В такой среде взлом одного офисного компьютера может быстро превратиться в путь к роботизированной ячейке. CISA на момент публикации не фиксировала случаев эксплуатации CVE-2026-8153 в реальных атаках. Но эксперты считают условия для атаки вполне правдоподобными — если внутри сети есть заражённая машина, добраться до Dashboard Server несложно.
Любопытно, что главный страх специалистов связан не с утечкой данных. Коллаборативные роботы перемещают детали, помогают людям, выполняют механические операции. Перехват управления такой машиной выводит инцидент за пределы привычного IT и переносит его в физический мир, где ценой ошибки становится не файл, а человек рядом с манипулятором.
Случай с PolyScope показывает заметную тенденцию. Современные промышленные платформы строятся поверх обычных IT-технологий — Linux, .NET, сетевых сервисов, удалённых интерфейсов управления. Привычные методы атак естественным образом перетекают в автоматизацию заводов. Роботы наследуют те же болезни, что корпоративное ПО последних десятилетий: ошибки обработки команд, кривая фильтрация ввода, незащищённые сетевые сервисы.
Что попадает в зону риска вместе с роботами:
- конвейерные и сборочные линии;
- логистические и складские комплексы;
- системы, где машины работают рядом с операторами;
- объекты со смешанной офисно-производственной сетью.
Ранее сообщалось, что Европейский центральный банк срочно собирал крупнейшие банки Европы после появления ИИ-модели Claude Mythos Preview от Anthropic, которая способна находить критические уязвимости за считанные минуты. В ЕЦБ опасались, что прежняя скорость реагирования на угрозы больше не соответствует новой реальности. Ситуация с промышленными роботами показывает, что проблема вышла далеко за пределы банковского ПО и облаков.
Эксперты редакции CISOCLUB уверены, что инцидент с PolyScope 5 стоит воспринимать не как частный сбой одного вендора, а как симптом общей зрелости рынка промышленной автоматизации. Когда заводское оборудование строится на тех же технологиях, что и корпоративный IT, оно неизбежно получает и весь груз накопленных проблем.
Главная ошибка многих производств — вера в то, что физическая изоляция и файрвол на периметре решают вопрос. Реальные атаки давно идут изнутри, и сегментация сети на заводе перестала быть пожеланием, превратившись в обязательное условие выживания. Компаниям пора закладывать обновление промышленных систем в плановые регламенты так же, как это делается с серверным парком. Промедление здесь измеряется уже не потерянными данными, а риском для людей в цеху.
Оригинал публикации на сайте CISOCLUB: "Из-за уязвимости в Universal Robots промышленных роботов оказалось взломать проще, чем ваш домашний роутер".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.