Эксперты обнаружили опасные уязвимости в некоторых контроллерах промышленных роботов от Universal Robots. Речь о версиях контроллеров CB 3.1 и SW 3.4.5-100.
Потенциальная опасность от двух уязвимостей в контроллерах для управления промышленными роботами теоретически может результировать в остановке конвейера или причинении ущерба производству. Обе уязвимости позволяют в итоге хакеру выполнить произвольный код на устройстве.
Первая уязвимость, описанная экспертами (CVE-2018-10633) заключается в наличии вшитых в контроллер учетных данных, с помощью которых атакующий может переустановить пароль на устройстве и получить над ним контроль.
Вторая уязвимость (CVE-2018-10635) работает еще проще: любой злоумышленник с доступом к портам 30001/TCP — 30003/TCP может выполнить произвольный код и получить доступ с правами суперпользователя к устройству.
Эксперты предупреждают, что в настоящее время методов предотвращения эксплуатации этих уязвимостей не существует, так как проблема находится на аппаратном уровне. В качестве мер предосторожности рекомендуется разрешить доступ к панели управления роботами только доверенным пользователям, подключать роботов к сети только в случае, если этого требует приложение. Необходимо также не подключать промышленные системы напрямую к внешнему интернету.
