2025/02/26 SecurityOnline — NVIDIA が発行したのは、Jetson AGX Orin シリーズおよび IGX Orin デバイスに影響を及ぼす、深刻度の高い脆弱性に対処するためのセキュリティ・アップデートである。この CVE-2024-0148 の悪用に成功した、デバイスへの物理的なアクセスを達成する攻撃者は、悪意のコード実行の可能性を得る。
このセキュリティ・アドバイザリで強調されるのは、UEFI ファームウェア RCM ブート・モードの脆弱性である。その悪用に成功した、デバイスへの物理的なアクセスが可能な攻撃者は、権限を必要とすることなく、信頼できないコードをロードできるとされる。この悪用が成功すると、コード実行/権限の昇格/データの改竄/サービス拒否/情報漏漏洩などが引き起こされる可能性が生じる。
NVIDIA のセキュリティ・アドバイザリには、「NVIDIA Jetson Linux および IGX OS イメージには、UEFI ファームウェア RCM ブート・モードの脆弱性が存在する。対象となるデバイスに物理的にアクセスできる権限のない攻撃者が、信頼できないコードをロードする可能性を得る」と記されている。
この脆弱性 CVE-2024-0148 には、CVSS スコア 7.6 が割り当てられており、重大度の高い脅威として分類されている。
NVIDIA は、影響を受けるプラットフォーム用のパッチを、以下のようにリリースしている:
| CVE ID | Affected Products | Platform/OS | Affected Versions | Updated Version |
|---|---|---|---|---|
| CVE-2024-0148 | NVIDIA IGX Orin | IGX OS | All versions prior to IGX 1.1 | IGX 1.1 |
| CVE-2024-0148 | Jetson AGX Orin Series | Jetson Linux | All versions prior to 36.4.3 | 36.4.3 |
すべてのユーザーに対して NVIDIA が推奨するのは、速やかなアップグレードにより、悪用のリスクを軽減することだ。
以下のソースから、必要なパッチをダウンロードできる:
- IGX Orin: IGX Download Center
- Jetson AGX Orin Series: NVIDIA Developer Zone
NVIDIA のエッジ AI プラットフォームである Jetson AGX/IGX Orin に脆弱性が発生しています。組み込み AI システムにおけるセキュリティ・リスクは、クラウド環境とは異なる性質を持っており、今回の脆弱性は、産業や自動運転など、リアルタイム制御が重要な領域に影響を与える可能性があります。ご利用のチームは、ご注意下さい。よろしければ、edge device で検索も、ご利用下さい。
IoT OT Security News 
You must be logged in to post a comment.