Giriş
Son dönemde, LeRobot adlı açık kaynak robotik platformunda kritik bir güvenlik açığı keşfedildi. Bu güvenlik açığı, uzaktan kod yürütmeye olanak tanıması bakımından ciddi bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, CVE-2026-25874 (CVSS puanı: 9.3) olarak tanımlanmıştır ve güvenilir olmayan veri serileştirmesine dayanmaktadır. Açık, asenkron çıkarım hattındaki güvenli olmayan veri serileştirmesi nedeniyle ortaya çıkmaktadır. Detaylar şu şekildedir:
- LeRobot, gRPC kanalları üzerinden alınan verilerin pickle.loads() fonksiyonu ile serileştirilmesine izin vermektedir.
- Sertifikasız bir saldırgan, SendPolicyInstructions, SendObservations veya GetActions gRPC çağrıları üzerinden kötü niyetli bir payload göndererek uzaktan kod yürütme gerçekleştirebilir.
Etkilenen Sistemler
Sorun, PolicyServer bileşeninde köklenmiştir ve yetkisiz bir saldırgan, bu sunucuya erişim sağlayarak işletim sisteminde rastgele komutlar çalıştırabilir. Ayrıca, başlıca etkilenen sistemler arasında şunlar bulunmaktadır:
- LeRobot versiyonu 0.4.3
Çözüm ve Korunma
Güvenlik açığı, LeRobot’un yüksek ayrıcalıklarla çalışan yapay zeka çıkarım sistemleri için tasarlandığı için “tehlikeli” olarak nitelendirilmektedir. Saldırgan bu açığı kullanarak aşağıdaki eylemleri gerçekleştirebilir:
- Yetkisiz uzaktan kod yürütme
- PolicyServer sunucusunun tamamen ele geçirilmesi
- Bağlı robotların etkilenmesi
- API anahtarları, SSH kimlik bilgileri ve model dosyaları gibi hassas verilerin çalınması
- Ağ üzerinde yan hareketler yapma
- Hizmetleri çökertme, modelleri bozma ya da operasyonları sabotajlama
Henüz bir yamanın mevcut olmadığı bu durumda, bir düzeltme 0.6.0 sürümü ile planlanmaktadır.
Sonuç
Okuyuculara, hemen aşağıdaki adımları atmalarını öneriyoruz:
- LeRobot’un en güncel sürümüne geçin ve CVE-2026-25874 ile ilgili güncellemeleri takip edin.
- Geçici olarak, LeRobot ile ilgili tüm bağlantı noktalarını kapatın ya da erişimi sınırlandırın.
- Güvenlik duvarı ve diğer siber güvenlik önlemlerini gözden geçirin.
Bu tür güvenlik açıkları, sürekli olarak izlenmeli ve güncellemelerle kapatılmalıdır.
