概要:NVIDIA Isaac Labの深刻な脆弱性
NVIDIAは、同社のロボットシミュレーションフレームワーク「NVIDIA Isaac Sim」の主要コンポーネントである「Isaac Lab」に、リモートコード実行(RCE)を可能にする重大なセキュリティ脆弱性が存在することを発表しました。この脆弱性は、悪意のある攻撃者が影響を受けるシステム上で任意のコードを実行できる可能性があるため、緊急の対応が求められています。
脆弱性の詳細:CVE-2025-32210
この脆弱性は、「CVE-2025-32210」として追跡されているデシリアライゼーションの欠陥に起因します。Common Vulnerability Scoring System (CVSS) スコアは9.0と評価されており、その深刻度は「Critical(緊急)」に分類されています。対応するCommon Weakness Enumeration (CWE) は「CWE-502」です。
攻撃者は、ネットワークアクセスを通じて低い攻撃の複雑度でこの脆弱性を悪用できます。悪用には低レベルの権限とユーザーインタラクションが必要ですが、脆弱なコンポーネントを超えてリソースに影響を及ぼし、機密性、完全性、可用性を高いレベルで侵害する可能性があります。
影響を受けるバージョンと推奨される対策
Isaac Labのv2.3.0より前のすべてのバージョンが、プラットフォームを問わずこの脆弱性の影響を受けます。
NVIDIAは、ユーザーに対し、直ちにIsaac Sim v2.3.0へのアップデートを強く推奨しています。このバージョンには、デシリアライゼーションの脆弱性に対処するセキュリティ修正が含まれています。
- 影響を受ける組織は、既存のIsaac Labインストールがv2.3.0以降に更新されていることを確認する必要があります。
- 最新のIsaac Labバージョンは、NVIDIAの公式GitHubリポジトリからダウンロードできます。
発見と情報公開の経緯
この脆弱性は、NVIDIAのAIレッドチームに所属するDaniel Teixeira氏によって発見され、責任ある情報開示が行われました。NVIDIAの製品セキュリティインシデントレスポンスチーム (PSIRT) は、2025年12月2日に初期のセキュリティ情報(速報)を公開し、詳細な脆弱性情報と修復ガイダンスを提供しました。
今後のセキュリティ対策
リモートコード実行の脆弱性は、攻撃者にシステムへの広範な制御を与えるため、データ盗難、システム操作、追加の悪意のあるペイロードの展開につながる可能性があります。NVIDIAは、今後の脆弱性やパッチに関する情報を得るために、製品セキュリティページを通じてセキュリティ速報通知を購読することを推奨しています。
元記事: https://gbhackers.com/nvidia-isaac-lab-flaw-enables-remote-code-execution/