CarderPlanet
Professional
- Messages
- 2,552
- Reaction score
- 696
- Points
- 83
Исследователи кибербезопасности выявили множество критических недостатков безопасности в инструменте TorchServe для обслуживания и масштабирования моделей PyTorch, которые могут быть объединены в цепочку для обеспечения удаленного выполнения кода в затронутых системах.
Израильская компания Oligo, занимающаяся безопасностью приложений среды выполнения, которая сделала это открытие, создала уязвимости ShellTorch.
"Эти уязвимости [...] могут привести к удаленному выполнению кода по всей цепочке (RCE), оставляя бесчисленные тысячи сервисов и конечных пользователей, включая некоторые крупнейшие мировые компании, открытыми для несанкционированного доступа и внедрения вредоносных моделей искусственного интеллекта и, возможно, полного захвата сервера", - сказали исследователи безопасности Идан Левкович, Гай Каплан и Гал Эльбаз.
Список недостатков, которые были устранены в версии 0.8.2, выглядит следующим образом -
Put in other words, an attacker who can remotely access the management server can also upload a malicious model, which enables code execution without requiring any authentication on any default TorchServe server.
Even more troublingly, the shortcomings could be chained with CVE-2022-1471 to pave the way for code execution and full takeover of exposed instances.
"Модели искусственного интеллекта могут включать файл YAML для объявления своей желаемой конфигурации, поэтому, загрузив модель с вредоносно созданным файлом YAML, мы смогли запустить небезопасную атаку десериализации, которая привела к выполнению кода на компьютере", - сказали исследователи.
Серьезность проблем побудила Amazon Web Services (AWS) выпустить рекомендацию, настоятельно призывающую клиентов использовать PyTorch inference Deep Learning Containers (DLC) 1.13.1, 2.0.0 или 2.0.1 в EC2, EKS или ECS, выпущенных до 11 сентября 2023 года, обновление до TorchServe версии 0.8.2.
"Используя привилегии, предоставляемые этими уязвимостями, можно просматривать, изменять, красть и удалять модели искусственного интеллекта и конфиденциальные данные, поступающие на целевой сервер TorchServe и с него", - заявили исследователи.
"Что делает эти уязвимости еще более опасными: когда злоумышленник использует сервер, обслуживающий модель, он может получить доступ к конфиденциальным данным, поступающим на целевой сервер TorchServe и исходящим из него, и изменять их, нанося ущерб доверию к приложению".
Израильская компания Oligo, занимающаяся безопасностью приложений среды выполнения, которая сделала это открытие, создала уязвимости ShellTorch.
"Эти уязвимости [...] могут привести к удаленному выполнению кода по всей цепочке (RCE), оставляя бесчисленные тысячи сервисов и конечных пользователей, включая некоторые крупнейшие мировые компании, открытыми для несанкционированного доступа и внедрения вредоносных моделей искусственного интеллекта и, возможно, полного захвата сервера", - сказали исследователи безопасности Идан Левкович, Гай Каплан и Гал Эльбаз.
Список недостатков, которые были устранены в версии 0.8.2, выглядит следующим образом -
- Нет CVE - Неправильная конфигурация API интерфейса управления без проверки подлинности (0.0.0.0)
- CVE-2023-43654 (оценка CVSS: 7.2) - Подделка запроса на стороне удаленного сервера (SSRF), которая приводит к удаленному выполнению кода.
- CVE-2022-1471 (оценка CVSS: 9,9) - Использование небезопасной версии библиотеки SnakeYaml с открытым исходным кодом, которая допускает небезопасную десериализацию объектов Java
Put in other words, an attacker who can remotely access the management server can also upload a malicious model, which enables code execution without requiring any authentication on any default TorchServe server.
Even more troublingly, the shortcomings could be chained with CVE-2022-1471 to pave the way for code execution and full takeover of exposed instances.
"Модели искусственного интеллекта могут включать файл YAML для объявления своей желаемой конфигурации, поэтому, загрузив модель с вредоносно созданным файлом YAML, мы смогли запустить небезопасную атаку десериализации, которая привела к выполнению кода на компьютере", - сказали исследователи.
Серьезность проблем побудила Amazon Web Services (AWS) выпустить рекомендацию, настоятельно призывающую клиентов использовать PyTorch inference Deep Learning Containers (DLC) 1.13.1, 2.0.0 или 2.0.1 в EC2, EKS или ECS, выпущенных до 11 сентября 2023 года, обновление до TorchServe версии 0.8.2.
"Используя привилегии, предоставляемые этими уязвимостями, можно просматривать, изменять, красть и удалять модели искусственного интеллекта и конфиденциальные данные, поступающие на целевой сервер TorchServe и с него", - заявили исследователи.
"Что делает эти уязвимости еще более опасными: когда злоумышленник использует сервер, обслуживающий модель, он может получить доступ к конфиденциальным данным, поступающим на целевой сервер TorchServe и исходящим из него, и изменять их, нанося ущерб доверию к приложению".
