Изследователи в областта на киберсигурността са разкрили множество критични недостатъци в сигурността на инструмента TorchServe за обслужване и мащабиране на модели PyTorch, които могат да бъдат верижно свързани, за да се постигне отдалечено изпълнение на код в засегнатите системи.
Базираната в Израел компания Oligo, която е направила откритието, е определила уязвимостите като ShellTorch.
„Тези уязвимости […] могат да доведат до пълно верижно изпълнение на отдалечен код (Remote Code Execution – RCE), оставяйки безброй хиляди услуги и крайни потребители – включително някои от най-големите компании в света – отворени за неоторизиран достъп и вмъкване на злонамерени модели с изкуствен интелект, а потенциално и за пълно превземане на сървъра“, заявиха изследователите по сигурността Идан Левкович, Гай Каплан и Гал Елбаз.
Списъкът с недостатъци, които са отстранени във версия 0.8.2, е следният.
- Няма CVE – Неудостоверена конфигурация на API интерфейса за управление (0.0.0.0)
- CVE-2023-43654 (CVSS оценка: 7,2) – Отдалечено подправяне на заявки от страна на сървъра (SSRF), което води до отдалечено изпълнение на код.
- CVE-2022-1471 (CVSS score: 9.9) – Използване на несигурна версия на библиотеката с отворен код SnakeYAML, която позволява опасно десериализиране на обекти Java
Успешното експлоатиране на гореспоменатите недостатъци може да позволи на нападателя да изпрати заявка за качване на злонамерен модел от адрес, контролиран от извършителя, което води до произволно изпълнение на код.
Казано с други думи, нападател, който може да получи отдалечен достъп до сървъра за управление, може да качи зловреден модел, който позволява изпълнението на код, без да изисква удостоверяване на автентичността на всеки сървър TorchServe по подразбиране.
Още по-обезпокоително е, че недостатъците могат да бъдат верижно свързани с CVE-2022-1471, за да се проправи път за изпълнение на код и пълно превземане на изложените екземпляри.
„Моделите с изкуствен интелект могат да включват YAML файл, за да декларират желаната конфигурация, така че чрез качване на модел със злонамерено създаден YAML файл успяхме да задействаме атака за опасна десериализация, която доведе до изпълнение на код на машината“, казват изследователите.
Сериозността на проблемите накара Amazon Web Services (AWS) да издаде консултация, в която призовава клиентите, използващи PyTorch inference Deep Learning Containers (DLC) 1.13.1, 2.0.0 или 2.0.1 в EC2, EKS или ECS, издадени преди 11 септември 2023 г., да актуализират до TorchServe версия 0.8.2.
„Използвайки привилегиите, предоставени от тези уязвимости, е възможно да се преглеждат, променят, крадат и изтриват модели на изкуствен интелект и чувствителни данни, постъпващи във и от целевия сървър TorchServe“, казват изследователите.
„Което прави тези уязвимости още по-опасни: когато нападателят използва сървъра за обслужване на модели, той може да получи достъп и да промени чувствителни данни, постъпващи във и от целевия сървър TorchServe, което вреди на доверието и надеждността на приложението.“
