Die Schwachstelle liegt im Dashboard-Server von PolyScope 5. Nach Darstellung von Universal Robots nimmt dieser benutzergesteuerte Eingaben entgegen und reicht sie an das zugrunde liegende Betriebssystem weiter, ohne Sonderzeichen angemessen zu neutralisieren. Dadurch lassen sich Befehle einschleusen, die direkt auf dem Roboter ausgeführt werden.
Der Hersteller betont, dass die Ausnutzung an Bedingungen geknüpft ist: Der Dashboard-Server muss in der Benutzeroberfläche aktiviert und sein Port für den Angreifer erreichbar sein. UR-Roboter seien nicht dafür ausgelegt, direkt aus dem Internet erreichbar zu sein; ein direkter eingehender Internetzugriff werde typischerweise durch die Unternehmens-Firewall unterbunden.
Vera Mens von Claroty, die die Lücke entdeckt und gemeldet hat, ordnet das Risiko differenzierter ein. Während viele Industrieroboter über keine Schnittstelle zur Fernverwaltung verfügten, besäßen die Cobots von Universal Robots eine Steuerbox mit einem Ethernet-Port, der bei Bedarf genutzt werden könne.
Kunden setzten diese Option laut Mens ein, um Daten an eine zentrale Verwaltungseinheit zu übermitteln, über ältere Feldprotokolle wie MODBUS und EtherNet/IP andere OT-Geräte anzusteuern oder den Cobot aus der Ferne zu steuern. Diese Netze seien zwar in der Regel nicht öffentlich erreichbar, aber häufig flach aufgebaut und ohne ordentliche Segmentierung – ein erster Zugang sei daher unter Umständen nicht schwer zu erlangen.
In einem flachen, nicht segmentierten Netz könnte ein Angreifer die Schwachstelle ausnutzen, um einen oder mehrere Cobots zu kompromittieren. Mens verweist darauf, dass die Steuerbox, die die Anwendungsebene des Cobots betreibt, ein universeller Linux-Rechner ist, der über Ethernet- und serielle Schnittstellen mit unterschiedlichsten Geräten verbunden ist.
Die geringste Folge wäre die vollständige Kontrolle über einen einzelnen Cobot, was bereits eine Gefahr für Menschen darstellen kann. Die Auswirkungen könnten jedoch bis zur Kompromittierung einer ganzen Flotte von Cobots samt ihrer Peripheriegeräte reichen, warnt die Forscherin.
