NVIDIA đã công bố hai lỗ hổng CVE tiêm mã nghiêm trọng ảnh hưởng đến nền tảng robot Isaac-GR00T của họ. Các lỗ hổng này được theo dõi là CVE-2025-33183 và CVE-2025-33184. Chúng tồn tại trong các thành phần Python và có thể cho phép kẻ tấn công đã xác thực thực thi mã tùy ý.

Ngoài ra, chúng còn có thể dẫn đến leo thang đặc quyền và thay đổi dữ liệu hệ thống. Các lỗ hổng này đặt ra một mối đe dọa đáng kể cho các tổ chức triển khai giải pháp robot của NVIDIA trong tự động hóa công nghiệp, cơ sở nghiên cứu và hệ thống tự hành.

Phân tích kỹ thuật các lỗ hổng CVE nghiêm trọng

Cả hai lỗ hổng CVE này đều mang điểm CVSS cao là 7.8. Điều này cho thấy rủi ro bảo mật nghiêm trọng đòi hỏi phải khắc phục ngay lập tức.

Các vấn đề tiêm mã này ảnh hưởng đến tất cả các phiên bản của NVIDIA Isaac-GR00T N1.5 trên mọi nền tảng. Một kẻ tấn công có quyền truy cập cục bộ và đặc quyền thấp có thể khai thác các lỗ hổng này mà không cần tương tác với người dùng.

Cơ chế khai thác và hậu quả tiềm tàng

Việc khai thác thành công có thể dẫn đến việc thực thi mã trái phép, leo thang đặc quyền, tiết lộ thông tin và sửa đổi dữ liệu. Điều này có thể làm tổn hại tính toàn vẹn của các hoạt động robot quan trọng.

Kẻ tấn công có thể giành quyền kiểm soát hệ thống hoàn toàn. Cả hai lỗ hổng đều xuất phát từ việc xử lý đầu vào do người dùng cung cấp không đúng cách trong các thành phần Python. Chúng được phân loại theo CWE-94 (Improper Control of Generation of Code).

Điểm yếu này đã từng bị khai thác trong nhiều cuộc tấn công nhắm vào các môi trường mã được thông dịch (interpreted code environments).

Biện pháp khắc phục và bản vá bảo mật

NVIDIA đã phát hành một bản cập nhật phần mềm để giải quyết cả hai lỗ hổng. Bản vá có sẵn thông qua GitHub commit 7f53666 của kho lưu trữ Isaac-GR00T.

commit 7f53666
Author: NVIDIA PSIRT <[email protected]>
Date: [Date of Commit]

Security Update: Addresses CVE-2025-33183 and CVE-2025-33184 (Code Injection in Python Components)

This commit introduces necessary input validation and sanitization within key Python components
to mitigate code injection vulnerabilities. Users are strongly advised to update immediately.

Các tổ chức đang chạy Isaac-GR00T nên cập nhật ngay lập tức lên bất kỳ nhánh mã nào bao gồm commit cụ thể này để loại bỏ bề mặt tấn công.

Khuyến nghị và giải pháp tạm thời

Các quản trị viên hệ thống nên ưu tiên triển khai bản vá bảo mật trên tất cả các triển khai Isaac-GR00T. Với mức độ nghiêm trọng cao và tiềm năng xâm phạm hệ thống nghiêm trọng, NVIDIA khuyến nghị xử lý vấn đề này như một ưu tiên khẩn cấp.

Xem thêm chi tiết tại: NVIDIA Security Bulletin.

Các tổ chức không thể vá lỗi ngay lập tức nên hạn chế quyền truy cập cục bộ vào các hệ thống bị ảnh hưởng và giám sát hoạt động đáng ngờ. Nhóm NVIDIA Product Security Incident Response Team (PSIRT) tiếp tục giám sát các nỗ lực khai thác. Các lỗ hổng được Peter Girnus thuộc Trend Micro Zero Day Initiative tiết lộ có trách nhiệm.