CRITICALCVE-2020-10265CVSS 9.4

RVD#1443: UR ダッシュボードサーバーは、認証なしでコアロボット機能のリモート制御を可能にする

プラットフォーム

other

コンポーネント

dashboard-server

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

CVE-2020-10265は、Universal Robots Robot ControllersのDashBoardサーバーにおける認証なしリモートコード実行(RCE)脆弱性です。攻撃者は、認証なしでDashBoardサーバーにアクセスし、ロボットのプログラム開始/停止、シャットダウン、安全リセットなどの重要な機能を制御できます。影響を受けるバージョンは、CB2 SW Version 1.4以降、CB3 SW Version 3.0以降、e-series SW Version 5.0以降です。最新バージョンへのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がUniversal Robots Robot Controllersを完全に制御することを可能にします。攻撃者は、ロボットの動作を操作し、生産プロセスを中断させ、物理的な損害を引き起こす可能性があります。さらに、ロボットを悪意のある活動に使用したり、ネットワークへの侵入経路として利用したりすることも考えられます。この脆弱性は、特にロボットが重要なインフラストラクチャや自動化された製造プロセスで使用されている場合に、重大なリスクをもたらします。認証メカニズムがないため、ネットワークに接続されている限り、誰でもこの脆弱性を悪用する可能性があります。

悪用の状況

CVE-2020-10265は、2020年4月6日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、認証なしでRCEを可能にするため、悪用される可能性は高いと考えられます。CISA KEVリストには登録されていません。この脆弱性は、ネットワークに接続されたロボットコントローラーが攻撃対象となりやすいため、注意が必要です。

リスク対象者翻訳中…

Organizations utilizing Universal Robots controllers in automated manufacturing processes, research facilities, or any environment where robot control is critical are at risk. Specifically, deployments with direct internet exposure or lacking network segmentation are particularly vulnerable. Legacy installations running older, unpatched firmware versions are also at heightened risk.

攻撃タイムライン

2020-04-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.36% (58% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdashboard-server

ベンダーUniversal Robots

影響範囲修正版

unspecified – unspecified—

弱点分類 (CWE)

CWE-306

タイムライン

予約済み2020-03-10
公開日2020-04-06
更新日2024-09-17
EPSS 更新日2026-04-02

未パッチ — 公開から2239日経過

緩和策と回避策

この脆弱性への最も効果的な対策は、Universal Robotsから提供される最新バージョンへのアップデートです。アップデートが利用できない場合、DashBoardサーバーへのアクセスを制限するために、ファイアウォールルールを設定し、ポート29999を外部からのアクセスから遮断することを検討してください。また、ネットワークセグメンテーションを実施し、ロボットコントローラーを他のネットワークから分離することで、攻撃の影響範囲を限定できます。アップデートが利用可能になるまで、DashBoardサーバーの機能を一時的に無効化することも有効な回避策です。

修正方法

この CVE は、Universal Robots の DashBoard サーバーが認証を必要とせず、重要なロボット機能への不正なリモート制御を可能にすることを示しています。この問題を修正するには、DashBoard サーバーへのアクセスを承認されたユーザーのみに制限するための、堅牢な認証および認可メカニズムを実装する必要があります。認証と認可の設定方法に関する具体的な手順については、Universal Robots のドキュメントを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2020-10265 — RCE in Universal Robots Robot Controllersとは何ですか？

CVE-2020-10265は、Universal Robots Robot ControllersのDashBoardサーバーにおける認証なしリモートコード実行(RCE)脆弱性です。攻撃者は、認証なしでロボットの制御を奪取できます。

CVE-2020-10265 in Universal Robots Robot Controllersの影響はありますか？

はい、影響があります。攻撃者は、ロボットの動作を操作し、生産プロセスを中断させ、物理的な損害を引き起こす可能性があります。

CVE-2020-10265 in Universal Robots Robot Controllersを修正するにはどうすればよいですか？

Universal Robotsから提供される最新バージョンへのアップデートを推奨します。アップデートが利用できない場合は、ファイアウォールルールを設定し、ポート29999へのアクセスを制限してください。

CVE-2020-10265は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は高いと考えられます。

CVE-2020-10265に関するUniversal Robotsの公式アドバイザリはどこで入手できますか？

Universal Robotsの公式ウェブサイトで、CVE-2020-10265に関するアドバイザリをご確認ください。