## Vulnérabilités critiques découvertes dans Universal Robots Polyscope 5 L'exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de contourner l'authentification et d'exécuter du code. [Voir CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-134-17.json) ### Versions affectées Les versions suivantes de **Universal Robots Polyscope 5** sont affectées : * Polyscope 5 <5.25.1 ### Détails des vulnérabilités La vulnérabilité la plus critique est une mauvaise neutralisation des éléments spéciaux utilisés dans une commande système ('OS Command Injection'). | CVSS | Fabricant | Équipement | Vulnérabilités | | :----- | :-------------------- | :--------------------------- | :----------------------------------------------------------------------------- | | v3 9.8 | **Universal Robots** | **Universal Robots Polyscope 5** | Mauvaise neutralisation des éléments spéciaux utilisés dans une commande système ('OS Command Injection') | ### Contexte * **Secteurs d'infrastructure critiques :** Fabrication critique * **Pays/Régions de déploiement :** Monde entier * **Lieu du siège social de l'entreprise :** Danemark ### Remerciements **Vera Mens** de **Claroty Team82** a signalé ces vulnérabilités à la **CISA**. ### Pratiques recommandées La **CISA** recommande aux utilisateurs de prendre des mesures défensives pour minimiser le risque d'exploitation de ces vulnérabilités. Les principales recommandations incluent : * Minimiser l'exposition réseau de tous les appareils et/ou systèmes de contrôle, en s'assurant qu'ils ne sont pas accessibles depuis Internet. * Placer les réseaux de systèmes de contrôle et les appareils distants derrière des pare-feux et les isoler des réseaux d'entreprise. * Lorsque l'accès à distance est requis, utiliser des méthodes plus sécurisées, telles que les réseaux privés virtuels (**VPN**), en reconnaissant que les **VPN** peuvent avoir des vulnérabilités et doivent être mis à jour vers la version la plus récente disponible. Reconnaître également que le **VPN** n'est aussi sûr que les appareils connectés. La **CISA** rappelle aux organisations d'effectuer une analyse d'impact et une évaluation des risques appropriées avant de déployer des mesures défensives. La **CISA** fournit également une section sur les pratiques recommandées en matière de sécurité des systèmes de contrôle sur la page ICS de cisa.gov/ics. Plusieurs produits de la **CISA** détaillant les meilleures pratiques de cyberdéfense sont disponibles en lecture et en téléchargement, notamment "Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies". La **CISA** encourage les organisations à mettre en œuvre les stratégies de cybersécurité recommandées pour la défense proactive des actifs ICS. Des conseils d'atténuation supplémentaires et des pratiques recommandées sont publiquement disponibles sur la page ICS à l'adresse cisa.gov/ics dans le document d'information technique, ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies. Les organisations observant une activité malveillante suspectée doivent suivre les procédures internes établies et signaler leurs conclusions à la **CISA** pour suivi et corrélation avec d'autres incidents. La **CISA** recommande également aux utilisateurs de prendre les mesures suivantes pour se protéger des attaques d'ingénierie sociale : * Ne pas cliquer sur les liens Web ni ouvrir les pièces jointes dans les messages électroniques non sollicités. * Se référer à "Recognizing and Avoiding Email Scams" pour plus d'informations sur la façon d'éviter les escroqueries par e-mail. * Se référer à "Avoiding Social Engineering and Phishing Attacks" pour plus d'informations sur les attaques d'ingénierie sociale. Aucune exploitation publique connue ciblant spécifiquement ces vulnérabilités n'a été signalée à la **CISA** à l'heure actuelle. ### Historique des révisions * **Date de publication initiale :** 2026-05-14 | Date | Révision | Résumé | | :--------- | :------- | :---------------- | | 2026-05-14 | 1 | Publication initiale |