漏洞概述 CVE编号:CVE-2026-7414 漏洞名称:Yarbo机器人固件v2.3.9中的硬编码凭证 描述:Yarbo固件v2.3.9包含硬编码的管理员凭证,这些凭证在固件镜像中嵌入,并且在所有运行该固件的设备上相同。这些凭证无法通过终端用户更改或删除,导致任何知道这些凭证的人都可以轻易访问设备的管理界面。 CVSS评分:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8, Critical) 相关SSVC向量:Exploitation: PoC and Technical Impact: Total 实例:CVE-799 影响范围 受影响产品:Yarbo机器人固件v2.3.9(2026年4月发布) 具体影响: - 静态用户名和密码凭证嵌入在配置文件和二进制文件中。 - 这些凭证授予对设备SSH和管理界面的管理访问权限。 - 尝试通过设备UI更改凭证会在重启后恢复为原始值,因为原始值是从只读固件分区恢复的。 - 攻击者可以使用硬编码凭证立即认证到任何受影响设备的管理界面,无需任何先前的访问或利用。 - 这是解锁CVE-2026-7413(未记录的SSH后门服务)的关键,该服务接受这些相同的凭证,提供对任何通过NAT punching代理访问设备的互联网用户的root shell。 - 结合CVE-2026-7415(开放的MQTT代理),可用于枚举网络上的设备,使攻击者能够大规模攻击目标列表。 修复方案 厂商行动要求: - 移除硬编码凭证。 - 引入每个设备凭证,在制造时提供,并确保凭证更改在重启和固件更新时正确持久化。 临时缓解措施: - 通过网络ACL限制SSH和管理界面端口。 - 在分段网络上隔离设备。 - 监控意外的认证尝试。 概念验证(POC) 参考链接:Yarbo - NAT in my Back Yard 时间线 2026年3月:初始分析供应商提供的Android APK 2026年4月:初始分析供应商提供的机器人文件系统 2026年4月12日(周日):首次联系供应商和AHA! 2026年4月29日(周三):CVE-2026-7414预留 2026年4月30日(周四):在AHA! Meeting 0x00eb上演示 2026年5月7日(周四):CVE-2026-7414公开披露 致谢 报告者:Andreas Makris(aka Bin4ry) 演示和披露:通过AHA!