NVIDIA Isaac-GR00T robototexnika platformasidagi jiddiy zaifliklar: tizim ustidan to‘liq boshqaruvga yo‘l ochuvchi xatar

NVIDIA kompaniyasi o‘zining sanoat avtomatizatsiyasi, ilmiy tadqiqotlar va avtonom tizimlarda keng qo‘llaniladigan Isaac-GR00T robototexnika platformasida ikki dona xavfli zaiflik aniqlanganini ma’lum qildi. Ushbu zaifliklar CVE-2025-33183 va CVE-2025-33184 identifikatorlari ostida ro‘yxatga olingan bo‘lib, ikkalasi ham Python komponentlarida yuzaga keladigan kod inyeksiyasi (code injection) muammosiga borib taqaladi.

Mazkur kamchiliklar CWE-94 (Improper Control of Generation of Code) – foydalanuvchi tomonidan kiritilgan ma’lumotni noto‘g‘ri qayta ishlash natijasida dinamik kod generatsiyasi ustidan nazoratning yo‘qligi – bilan bog‘liq. Shunday xatoliklar ko‘p hollarda eskalatsiya, tizim buzilishi va zararli buyruqlarni yashirincha bajarish uchun ekspluatatsiya qilingan.

Zaifliklarning mohiyati

Isaac-GR00T N1.5 versiyalarining barcha platformalarida uchraydigan ushbu ikki zaiflik hujumchiga:

• Lokal kirish huquqiga ega bo‘lgan holatning o‘zida
• Hech qanday qo‘shimcha foydalanuvchi aralashuvisiz
• Python komponentiga zararli kod yuborish orqali tizim ustidan to‘liq nazorat o‘rnatish

imkonini beradi.

Har ikki zaiflikning CVSS bahosi 7.8 (High) darajada bo‘lib, ularning xavf darajasi sezilarli ekani va zudlik bilan bartaraf etilishi lozimligini anglatadi.

CVE-2025-33183 va CVE-2025-33184 zaifliklaridan muvaffaqiyatli foydalanish hujumchiga:

• Ixtiyoriy kod bajarish,
• Imtiyozlarni oshirish,
• Muhim tizim ma’lumotlarini o‘zgartirish,
• Jarayonlarni o‘chirib yuborish yoki chalg‘itish,
• Robototexnika jarayonlarining yaxlitligi (integrity) va ishonchliligiga putur yetkazish

kabi oqibatlarni yuzaga keltirishi mumkin. Shu sababli mazkur xatoliklar ishlab chiqarish liniyalari, avtonom boshqaruv tizimlari va ilmiy laboratoriyalar kabi yuqori xavfsizlik talab qilinadigan sohalarga bevosita tahdid tug‘diradi.

NVIDIA tomonidan taqdim etilgan yechim

NVIDIA zaifliklarni bartaraf etuvchi yangilanishni chiqargan bo‘lib, ushbu tuzatish Isaac-GR00T GitHub repozitoriyasidagi 7f53666 commit orqali joriy etilgan. Platformadan foydalanayotgan tashkilotlar ushbu commit kiritilgan barcha kod tarmoqlariga (branch) darhol yangilanishni tavsiya etadi.

Yangilanishni joriy eta olmagan tashkilotlar esa vaqtinchalik quyidagi choralarni ko‘rishi kerak:

• Mahalliy kirish mumkin bo‘lgan qurilmalar sonini keskin cheklash;
• Administrator huquqlari ustidan qo‘shimcha nazorat o‘rnatish;
• Shubhali faoliyat va ruxsatsiz jarayonlarni monitoring qilish;
• Tizim loglarini real vaqt rejimida kuzatish.

NVIDIA’ning PSIRT (Product Security Incident Response Team) jamoasi zaifliklardan foydalanishga oid har qanday urinishlarni monitoring qilib bormoqda va zarur bo‘lsa qo‘shimcha ogohlantirishlar chiqaradi.

Zaifliklarni aniqlash jarayoni

Mazkur muammolar Trend Micro Zero Day Initiative tadqiqotchisi Peter Girnus tomonidan mas’uliyatli tarzda aniqlangan va NVIDIA’ga xabar qilingan. Bu esa ishlab chiqaruvchilar va tadqiqotchilar o‘rtasidagi hamkorlik real dunyo kiberxavfsizligini ta’minlashda naqadar muhim ekanini yana bir bor ko‘rsatadi.

NVIDIA Isaac-GR00T platformasidagi ushbu ikki zaiflik robototexnika tizimlarida xavfsizlikning qanchalik muhim o‘rin tutishini yana bir bor isbotladi. Kod inyeksiyasi orqali to‘liq tizim nazoratining qo‘lga olinishi — robotlar boshqaruvidan tortib ishlab chiqarish jarayonlarigacha bo‘lgan ko‘plab sohalarda jiddiy oqibatlarga olib kelishi mumkin.

Tashkilotlarga yangilanishni darhol o‘rnatish, tizimlar xavfsizligini qayta ko‘rib chiqish va xavfsizlik protokollarini kuchaytirish qat’iy tavsiya etiladi.