概要
NVIDIAは、同社のロボティクスソフトウェアプラットフォーム「Isaac-GR00T」における2つの重大なコードインジェクション脆弱性に対処するためのセキュリティアップデートを公開しました。これらの欠陥は、攻撃者がローカルシステムアクセスを介して任意コード実行、権限昇格、機密データの改ざんを行う可能性があり、ロボットシステムとその基盤インフラストラクチャを危険にさらす恐れがあります。
脆弱性の詳細
今回確認された脆弱性は、CVE-2025-33183とCVE-2025-33184として追跡されており、Isaac-GR00Tの全てのバージョンに影響します。両脆弱性ともに、Pythonコンポーネントにおけるユーザー入力の不適切な処理に起因しており、攻撃者がユーザー操作なしに悪意のあるコードをシステムに注入することを可能にします。
- CVE-2025-33183
- CVSSスコア: 7.8
- 深刻度: High
- 影響: コード実行、権限昇格、情報漏洩、データ改ざん
- CVE-2025-33184
- CVSSスコア: 7.8
- 深刻度: High
- 影響: コード実行、権限昇格、情報漏洩、データ改ざん
脅威の理解
ローカルアクセスと低レベルの特権を持つ攻撃者は、これらの脆弱性を悪用して任意コマンドを実行し、昇格されたシステム権限を獲得する可能性があります。この脆弱性チェーンは、機密情報への不正アクセス、システム侵害、およびロボット操作の改ざんにつながる可能性があります。
両脆弱性はCVSSスコア7.8で「High」の深刻度と評価されており、そのセキュリティ上の影響は大きいと言えます。悪用には対象システムへのローカルアクセスが必要ですが、この前提条件が満たされれば、その後の攻撃にはユーザー操作が不要なため、共有コンピューティング環境や侵害されたシステムでは特に危険です。
NVIDIAの対応と推奨事項
NVIDIAは、Isaac-GR00TリポジトリのGitHubコミット 7f53666を通じて利用可能なセキュリティパッチを適用することを推奨しています。このアップデートは両脆弱性の根本原因に対処するものであり、影響を受けるソフトウェアを実行している全てのシステムに展開されるべきです。
Isaac-GR00Tを本番環境で使用している組織は、セキュリティパッチのテストと展開を優先する必要があります。システム管理者は、インストールされているバージョンがこの重要なセキュリティコミットを含むコードブランチを実行していることを確認し、ロボットシステムへのローカルアクセスを制限するためのネットワークセグメンテーションの実装を検討することが推奨されます。