漏洞概述 CVE编号: CVE-2026-7415 漏洞名称: OPEN MQTT ORCHESTRATION WITHOUT READ/WRITE ACLS IN YARBO ROBOT FIRMWARE V2.3.9 描述: Yarbo机器人固件v2.3.9中的MQTT代理配置允许匿名连接,无主题级读写ACL。任何在同一网络上的主机都可以订阅敏感遥测主题或直接发布控制消息到机器人,无需认证或授权。 CVSSv3评分: 9.8 (Critical) 相关SSV向量: Exploitation: PoC, Technical Impact: Total 实例: CVE-380 影响范围 受影响产品: Yarbo机器人固件v2.3.9(2026年4月) 漏洞细节: MQTT代理默认配置为 ,无ACL文件,允许任何客户端连接并自由发布或订阅任何主题。编排主题暴露直接命令通道(如移动、配置),以及携带传感器数据、位置和操作日志的遥测主题。 攻击者价值: 攻击者可以在本地网络或通过NAT穿透代理(参考CVE-2026-7413)使用开放的MQTT代理被动枚举活动机器人、读取实时遥测数据、识别特定设备目标。更关键的是,他们可以主动发布命令控制机器人执行器或更改配置,无需凭证。结合CVE-2026-7413和CVE-2026-7414,此开放代理完成完全未授权攻击路径:MQTT揭示并枚举设备,硬编码凭证提供认证管理访问,持久后门提供root shell。 修复方案 厂商行动: 禁用匿名MQTT访问,要求客户端认证,强制执行主题级ACL,限制发布和订阅权限给授权客户端。 临时缓解措施: 在网络边界阻止MQTT端口(默认1883/8883),将设备放置在隔离VLAN中,并监控意外的MQTT代理连接。 概念验证 参考: 见Bin4ry的原始披露详情 Yarbo – NAT in my Back Yard 时间线 2026年3月: 初始分析供应商提供的Android APK 2026年4月: 初始分析供应商提供的机器人文件系统 2026年4月12日 (周日): 首次联系供应商和AHA! 2026年4月29日 (周三): CVE-2026-7415预留 2026年4月30日 (周四): 在AHA!会议0x00eb演示 2026年5月7日 (周四): 公开披露CVE-2026-7415 信用 报告者: Andreas Makris (aka Bin4ry),通过AHA!演示和披露