Universal Robots, een Deens bedrijf gespecialiseerd in collaboratieve industriële robots (cobots), heeft een kritieke kwetsbaarheid in een van zijn besturingssystemen gepatcht. De kwetsbaarheid, bekend als CVE-2026-8153, betreft een OS command injection in de Dashboard Server interface van PolyScope 5, het besturingssysteem en de GUI die de cobots aanstuurt. Deze kwetsbaarheid kreeg een kritieke CVSS-score van 9.8 en is inmiddels verholpen in PolyScope versie 5.25.1.

Volgens Universal Robots accepteert de Dashboard Server gebruikersinvoer die zonder juiste neutralisatie wordt doorgegeven aan het onderliggende besturingssysteem. Hierdoor kan een niet-geauthenticeerde aanvaller met netwerktoegang tot de Dashboard Server poort commando's uitvoeren op het besturingssysteem van de robot. Dit kan leiden tot remote code execution en volledige overname van de controller, met ernstige gevolgen voor vertrouwelijkheid, integriteit en beschikbaarheid.

De leverancier benadrukt dat voor remote exploitatie de Dashboard Server in de gebruikersinterface ingeschakeld moet zijn en dat de poort bereikbaar moet zijn voor de aanvaller. De robots zijn niet ontworpen voor directe internettoegang en doorgaans wordt inkomend internetverkeer geblokkeerd door firewalls. Toch waarschuwt beveiligingsonderzoeker Vera Mens van Claroty, die de kwetsbaarheid ontdekte, dat de controlebox van de cobots een Ethernet-poort heeft die op verzoek gebruikt kan worden. Deze poort kan worden ingezet voor centrale beheersystemen, legacy protocollen zoals MODBUS en EtherNet/IP, of voor remote besturing van de cobot.

Mens wijst erop dat deze netwerken vaak vlak en zonder segmentatie zijn, waardoor een aanvaller relatief eenvoudig een eerste toegang kan verkrijgen. In zo’n omgeving kan de kwetsbaarheid worden misbruikt om één of meerdere cobots te compromitteren. De controlebox draait op een algemene Linux-computer en is via Ethernet en seriële poorten verbonden met andere apparatuur. Het minst ernstige gevolg is volledige controle over een enkele cobot, wat risico’s voor de veiligheid van mensen kan opleveren. Ernstiger is dat een aanvaller een hele vloot cobots en bijbehorende randapparatuur kan overnemen.