NVIDIA Isaac の脆弱性 CVE-2025-33222/33223/33224 が FIX:深刻な RCE の可能性

NVIDIA Isaac Vulnerabilities Enable Remote Code Execution Attacks

2025/12/24 gbhackers — NVIDIA が 2025年12月23日に公開したのは、Isaac Launchable プラットフォームに存在する、3つの深刻な脆弱性を修正する重要なセキュリティ・アップデートである。これらの脆弱性を悪用する未認証の攻撃者は、リモートから任意のコード実行を引き起こせる。3つの脆弱性は、いずれも CVSS スコア 9.8 と評価され、深刻度は Critical に分類されている。影響を受ける組織は、直ちに対応する必要がある。

Isaac Launchable の全プラットフォームにおける、バージョン 1.1 未満に存在する3つの脆弱性について、このセキュリティ情報は詳細を説明している。

CVE IDWeakness TypeCVSS ScoreSeverity
CVE-2025-33222Hard-coded Credentials9.8Critical
CVE-2025-33223Execution with Unnecessary Privileges9.8Critical
CVE-2025-33224Execution with Unnecessary Privileges9.8Critical

1つ目の脆弱性 CVE-2025-33222 は、ソフトウェアにハードコードされた認証情報に関連する欠陥 (CWE-798) に起因する。

この脆弱性を悪用する攻撃者は、正当な権限を必要とせずに認証メカニズムを回避し、不正なシステム・アクセスを成功させ、さらなる攻撃活動の足掛かりを築くことが可能となる。

残りの2つの脆弱性 CVE-2025-33223/CVE-2025-33224 は、不要な権限付与によるコード実行 (CWE-250) に起因するものだ。

これらの脆弱性を悪用する攻撃者は、昇格されたシステム権限で悪意のあるコードを実行できる。つまり、通常のユーザーレベルの操作を超えて、潜在的な被害範囲を拡大することが可能となる。

ロボット工学や AI シミュレーション基盤と、Isaac Launchable を連携させるエンタープライズ環境において、このような権限昇格の問題は大きな脅威となる。

これら3つの脆弱性に対する攻撃ベクターは、すべてネットワーク・ベースであり、複雑さが最小限である。したがって攻撃者は、物理的なアクセスや高度な攻撃手法を必要とせずに、リモートから悪用できる。

また、ユーザー操作が不要であるため、攻撃における障壁は大幅に低下する。以下の CVSS ベクターが示すように、機密性/整合性/可用性に大きな影響を及ぼす。

(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

侵害に成功した攻撃者は、さまざまな壊滅的な被害を引き起こせる。具体的に言うと、影響を受けるシステム上での不正なコード実行/管理者レベルまたはシステム・レベルのアクセスへの権限昇格/プラットフォームを利用不能にするサービス拒否攻撃/シミュレーションや基盤データセットを破損させるデータ改竄などが、例として挙げられる。

ロボティクスおよび AI 開発分野では、これらの影響により知的財産/運用上の安全性/データの完全性に重大なリスクが生じる。

すでに NVIDIA は、セキュリティ通知の直後にリリースされた Isaac Launchable バージョン 1.1 において、これらの3つの脆弱性を修正している。

すべてのユーザーに対して NVIDIA が推奨するのは、公式 GitHub リポジトリから最新バージョンを遅滞なくダウンロードしてインストールすることだ。

Isaac Launchable を使用している組織は、このアップデートを優先的に適用し、システム・セキュリティを維持する必要がある。

これらの脆弱性を発見/報告したのは、NVIDIA AI Red Team の Daniel Teixeira である。詳細情報とパッチのダウンロードは、NVIDIA の製品セキュリティ・ポータルで入手できる。

NVIDIA の Isaac Launchable の3件の脆弱性が FIX しました。この問題の原因は、プログラムにハードコードされた認証情報の問題や、必要以上の高権限で処理が実行される設定などにあります。それにより、外部の未認証の攻撃者が、ネットワークを通じてシステムを操作できるという、きわめて危険な状態が生まれていました。特別な操作を必要とせずに、管理者レベルの権限を奪われてしまうため、AI やロボットのシミュレーション・データの改竄や、システム停止のリスクがあります。ご利用のチームは、ご注意ください。よろしければ、NVIDIA Isaac での検索結果も、ご参照ください。