Предупреждение: модели PyTorch уязвимы для удаленного выполнения кода через ShellTorch

CarderPlanet

Professional
Messages
2,552
Reaction score
696
Points
83
Исследователи кибербезопасности выявили множество критических недостатков безопасности в инструменте TorchServe для обслуживания и масштабирования моделей PyTorch, которые могут быть объединены в цепочку для обеспечения удаленного выполнения кода в затронутых системах.

Израильская компания Oligo, занимающаяся безопасностью приложений среды выполнения, которая сделала это открытие, создала уязвимости ShellTorch.

"Эти уязвимости [...] могут привести к удаленному выполнению кода по всей цепочке (RCE), оставляя бесчисленные тысячи сервисов и конечных пользователей, включая некоторые крупнейшие мировые компании, открытыми для несанкционированного доступа и внедрения вредоносных моделей искусственного интеллекта и, возможно, полного захвата сервера", - сказали исследователи безопасности Идан Левкович, Гай Каплан и Гал Эльбаз.

Список недостатков, которые были устранены в версии 0.8.2, выглядит следующим образом -
  • Нет CVE - Неправильная конфигурация API интерфейса управления без проверки подлинности (0.0.0.0)
  • CVE-2023-43654 (оценка CVSS: 7.2) - Подделка запроса на стороне удаленного сервера (SSRF), которая приводит к удаленному выполнению кода.
  • CVE-2022-1471 (оценка CVSS: 9,9) - Использование небезопасной версии библиотеки SnakeYaml с открытым исходным кодом, которая допускает небезопасную десериализацию объектов Java
Успешное использование вышеупомянутых недостатков может позволить злоумышленнику отправить запрос на загрузку вредоносной модели с адреса, контролируемого субъектом, что приведет к выполнению произвольного кода.

py.gif


Put in other words, an attacker who can remotely access the management server can also upload a malicious model, which enables code execution without requiring any authentication on any default TorchServe server.

Even more troublingly, the shortcomings could be chained with CVE-2022-1471 to pave the way for code execution and full takeover of exposed instances.

"Модели искусственного интеллекта могут включать файл YAML для объявления своей желаемой конфигурации, поэтому, загрузив модель с вредоносно созданным файлом YAML, мы смогли запустить небезопасную атаку десериализации, которая привела к выполнению кода на компьютере", - сказали исследователи.

Серьезность проблем побудила Amazon Web Services (AWS) выпустить рекомендацию, настоятельно призывающую клиентов использовать PyTorch inference Deep Learning Containers (DLC) 1.13.1, 2.0.0 или 2.0.1 в EC2, EKS или ECS, выпущенных до 11 сентября 2023 года, обновление до TorchServe версии 0.8.2.

"Используя привилегии, предоставляемые этими уязвимостями, можно просматривать, изменять, красть и удалять модели искусственного интеллекта и конфиденциальные данные, поступающие на целевой сервер TorchServe и с него", - заявили исследователи.

"Что делает эти уязвимости еще более опасными: когда злоумышленник использует сервер, обслуживающий модель, он может получить доступ к конфиденциальным данным, поступающим на целевой сервер TorchServe и исходящим из него, и изменять их, нанося ущерб доверию к приложению".
 
Top