Kritična ranjivost u Yarbo robotima - nedostaju kontrole pristupa MQTT brokeru
Kritična ranjivost u Yarbo robotima omogućava anoniman pristup MQTT brokeru bez autentifikacije i kontrole pristupa.
Šta se desilo?
Otkrivena je kritična sigurnosna greška u firmveru robota marke Yarbo verzije 2.3.9. Ugrađeni MQTT broker dozvoljava anonimne konekcije bez bilo kakve zaštite - nikakva autentifikacija niti kontrola pristupa po temama. To znači da svaki uređaj na istoj mreži može bez ograničenja čitati osetljive podatke o radu robota ili mu slati kontrolne komande.
Koga pogađa?
Uglavnom preduzeća i ustanove koje koriste Yarbo robote u svojoj operativi. Pošto se problem javlja na lokalnoj mreži, rizik je veći u okruženjima gde je mreža podeljena sa nepouzdanim korisnicima ili gde se isti IoT sistem koristi od više nezavisnih strana.
Kako se zaštititi?
- Čim pre instalirajte ažuriranu verziju firmvera čim bude dostupna od proizvođača
- Izdvojite mreže na kojima se nalaze Yarbo roboti od javne mrežne infrastrukture
- Implementirajte firewall pravila koja ograničavaju pristup MQTT komunikaciji samo na ovlašćene uređaje
- Pratite mrežni saobraćaj u okruženju gde se roboti koriste da biste detektovali sumnjive pokušaje pristupa
- Ograničite pristup mreži samo na zaposlene i odobrene uređaje
Tehnički detalji
CVE-2026-7415 je klasifikovana sa CVSS skorom 9.8 kao kritična. Problem se nalazi u MQTT brokeru verzije 2.3.9 koja nema implementirane ACL kontrole (Access Control Lists) na nivou tema. Napadač na lokalnoj mreži može pretplatiti se na teme koje sadrže telemetrijske podatke ili direktno publikovati komande za kontrolu robota.
Preporuka Sajber Radara
Ako koristite Yarbo robote u proizvodnom okruženju, hitno proverite dostupnost ispravki od proizvođača i planirajte ažuriranje. Dok čekate update, segmentirajte mrežu i ograničite pristup MQTT brokeru samo na pouzdane klijente.