Ένα σύνολο κρίσιμων ευπαθειών που ονομάζονται “ShellTorch” στο ανοικτού κώδικα εργαλείο TorchServe για την εξυπηρέτηση των μοντέλων AI, επηρεάζουν δεκάδες χιλιάδες διακομιστές που είναι προσβάσιμοι στο διαδίκτυο, μερικοί από τους οποίους ανήκουν σε μεγάλες οργανώσεις.
Δείτε επίσης: Οι επιθέσεις BEC στον τομέα της υγειονομικής περίθαλψης αυξήθηκαν κατά 279%
Το TorchServe, που διατηρείται από τη Meta και την Amazon, είναι ένα δημοφιλές εργαλείο για την παροχή και κλιμάκωση των μοντέλων του PyTorch (πλαίσιο μηχανικής μάθησης) σε παραγωγή. Η βιβλιοθήκη χρησιμοποιείται κυρίως από όσους ασχολούνται με την εκπαίδευση και την ανάπτυξη μοντέλων Τεχνητής Νοημοσύνης, από ερευνητές στον ακαδημαϊκό χώρο έως μεγάλες εταιρείες όπως η Amazon, η OpenAI, η Tesla, η Azure, η Google και η Intel.
Ο ρόλος του ShellTorch στους AI servers είναι να παρέχει ένα ασφαλές περιβάλλον για την εκτέλεση του κώδικα AI. Αυτό σημαίνει ότι το ShellTorch παρέχει μια ασφαλή και απομονωμένη πλατφόρμα για την εκτέλεση του κώδικα, προστατεύοντας τον server από πιθανές επιθέσεις και εκμεταλλεύσεις. Με τη χρήση του ShellTorch, οι AI servers μπορούν να εκτελούν κώδικα AI με ασφάλεια και να αποφεύγουν πιθανές ευπάθειες. Αυτό είναι ιδιαίτερα σημαντικό γιατί ο κώδικας AI μπορεί να περιέχει ευαίσθητες πληροφορίες ή να απαιτεί υψηλές υπολογιστικές απαιτήσεις, και επομένως πρέπει να προστατεύεται από ανεπιθύμητη πρόσβαση ή κακόβουλες επιθέσεις.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Οι ευπάθειες TorchServe που ανακάλυψε η ομάδα ασφαλείας Oligo μπορούν να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση σε διακομιστές και εκτέλεση απομακρυσμένου κώδικα (RCE) σε ευάλωτες συσκευές. Οι τρεις ευπάθειες ονομάζονται συλλογικά ShellTorch και επηρεάζουν τις εκδόσεις TorchServe από 0.3.0 έως 0.8.1.
Το πρώτο ελάττωμα είναι μια μη επαληθευμένη κατασταλτική διεπαφή διαμόρφωσης του API που έχει ως αποτέλεσμα το web panel να είναι συνδεδεμένο με τη διεύθυνση IP 0.0.0.0 αντί για την localhost, εκθέτοντάς το σε εξωτερικά αιτήματα. Δεδομένου ότι η διεπαφή δεν διαθέτει πιστοποίηση, επιτρέπει απεριόριστη πρόσβαση σε οποιονδήποτε χρήστη, η οποία μπορεί να χρησιμοποιηθεί για τον ανέβασμα κακόβουλων μοντέλων από εξωτερική διεύθυνση.
Δείτε ακόμα: GitHub Dependabot: Έγινε spoof σε εκατοντάδες επιτυχημένες επιθέσεις
Το δεύτερο πρόβλημα, που παρακολουθείται ως CVE-2023-43654, είναι μια απομακρυσμένη παραποίηση αίτησης στον διακομιστή (SSRF) που, εάν εκμεταλλευτεί ως μέρος μιας αλυσίδας σφαλμάτων, μπορεί να οδηγήσει σε εκτέλεση απομακρυσμένου κώδικα (RCE). Παρά το γεγονός ότι η API του TorchServe έχει λογική για μια επιτρεπόμενη λίστα τομέων για τη λήψη των αρχείων διαμόρφωσης των μοντέλων από μια απομακρυσμένη διεύθυνση URL, διαπιστώθηκε ότι προεπιλέγονται όλοι οι τομείς, προκαλώντας ένα ελάττωμα SSRF. Αυτό επιτρέπει στους επιτιθέμενους να μεταφορτώνουν κακόβουλα μοντέλα που ενεργοποιούν την αυθαίρετη εκτέλεση κώδικα όταν εκκινούν στον προορισμένο διακομιστή.
Η τρίτη ευπάθεια που ανιχνεύεται ως CVE-2022-1471 είναι ένα πρόβλημα deserialization στην Java που οδηγεί σε απομακρυσμένη εκτέλεση κώδικα. Λόγω της μη ασφαλούς αποσειριοποίησης στη βιβλιοθήκη SnakeYAML, οι επιτιθέμενοι μπορούν να ανεβάσουν ένα μοντέλο με κακόβουλο αρχείο YAML για να ενεργοποιήσουν απομακρυσμένη εκτέλεση κώδικα.
Θα πρέπει να σημειωθεί ότι η Oligo δεν ανακάλυψε την ευπάθεια του SnakeYAML, αλλά την χρησιμοποίησε ως μέρος της αλυσίδας εκμετάλλευσής της. Οι ερευνητές προειδοποιούν ότι εάν ένας επιτιθέμενος συνδυάσει τις παραπάνω ευπάθειες, μπορεί εύκολα να παραβιάσει ένα σύστημα που τρέχει ευάλωτες εκδόσεις του TorchServe.
Για να διορθωθούν αυτές οι ευπάθειες ShellTorch, οι χρήστες θα πρέπει να αναβαθμίσουν στο TorchServe 0.8.2, που κυκλοφόρησε στις 28 Αυγούστου 2023. Αυτή η ενημέρωση εμφανίζει προειδοποίηση σχετικά με το θέμα του SSRF στον χρήστη, επιλύοντας αποτελεσματικά τον κίνδυνο από το CVE-2023-43654.
Στη συνέχεια, ρυθμίστε σωστά την κονσόλα διαχείρισης management_address στο http://127.0.0.1:8081 στο αρχείο config.properties. Αυτό θα κάνει το TorchServe να συνδέεται με τον υπολογιστή τοπικά αντί για κάθε διεύθυνση IP που έχει ρυθμιστεί στον διακομιστή.
Δείτε επίσης: Οι επιθέσεις ransomware στον εκπαιδευτικό τομέα αυξήθηκαν τον Αύγουστο
Τέλος, βεβαιωθείτε ότι ο διακομιστής σας ανακτά μοντέλα μόνο από αξιόπιστους τομείς, ενημερώνοντας τα allowed_urls στο αρχείο config.properties αναλόγως.