Ένα σύνολο από κρίσιμα τρωτά σημεία που ονομάζονται «ShellTorch» στο ανοιχτού κώδικα εργαλείο εξυπηρέτησης μοντέλων τεχνητής νοημοσύνης TorchServe επηρεάζει δεκάδες χιλιάδες διακομιστές που εκτίθενται στο διαδίκτυο, ορισμένοι από τους οποίους ανήκουν σε μεγάλους οργανισμούς.
Το TorchServe, που διατηρείται από τη Meta και την
Amazon
, είναι ένα
δημοφιλής
εργαλείο για την εξυπηρέτηση και την κλιμάκωση μοντέλων PyTorch (πλαίσιο μηχανικής
μάθηση
ς) στην παραγωγή.
Η βιβλιοθήκη χρησιμοποιείται κυρίως από όσους ασχολούνται με την εκπαίδευση και την ανάπτυξη μοντέλων τεχνητής νοημοσύνης, από ακαδημαϊκούς ερευνητές έως μεγάλες εταιρείες όπως η Amazon, η OpenAI, η Tesla, η
Azure
, η Google και η
Intel
.
Τα ελαττώματα TorchServe που ανακαλύφθηκαν από την ερευνητική ομάδα του Oligo Security μπορούν να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση διακομιστή και απομακρυσμένη εκτέλεση κώδικα (RCE) σε ευάλωτες περιπτώσεις.
Η ευπάθεια ShellTorch
Τα τρία τρωτά σημεία ονομάζονται συλλογικά ShellTorch και επηρεάζουν τις εκδόσεις TorchServe 0.3.0 έως 0.8.1.
Το πρώτο ελάττωμα είναι μια εσφαλμένη ρύθμιση παραμέτρων του API διεπαφής διαχείρισης που αναγκάζει τον πίνακα ιστού να δεσμεύεται στη διεύθυνση IP 0.0.0.0 από προεπιλογή αντί για τον localhost, εκθέτοντάς τον σε εξωτερικά αιτήματα.
Καθώς η διεπαφή δεν διαθέτει έλεγχο ταυτότητας, επιτρέπει την απεριόριστη πρόσβαση σε οποιονδήποτε χρήστη, η οποία μπορεί να χρησιμοποιηθεί για τη μεταφόρτωση κακόβουλων μοντέλων από μια εξωτερική διεύθυνση.
Το δεύτερο ζήτημα, που παρακολουθείται ως CVE-2023-43654, είναι μια απομακρυσμένη παραποίηση αιτημάτων από την πλευρά του διακομιστή (SSRF) που οδηγεί σε απομακρυσμένη εκτέλεση κώδικα (RCE).
Ενώ το API του TorchServe έχει λογική για μια επιτρεπόμενη λίστα τομέων για τη λήψη αρχείων διαμόρφωσης μοντέλων από μια απομακρυσμένη διεύθυνση URL, διαπιστώθηκε ότι όλοι οι τομείς έγιναν αποδεκτοί από προεπιλογή, οδηγώντας σε ένα ελάττωμα πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF).
Αυτό επιτρέπει στους εισβολείς να ανεβάζουν κακόβουλα μοντέλα που ενεργοποιούν αυθαίρετη εκτέλεση κώδικα όταν εκκινούνται στον διακομιστή προορισμού.
Το τρίτο θέμα ευπάθειας που παρακολουθείται ως CVE-
2022
-1471, είναι ένα πρόβλημα αποσειριοποίησης Java που οδηγεί σε απομακρυσμένη εκτέλεση κώδικα.
Λόγω της μη ασφαλούς αποσειροποίησης στη βιβλιοθήκη SnakeYAML, οι εισβολείς μπορούν να ανεβάσουν ένα μοντέλο με ένα κακόβουλο αρχείο YAML για να ενεργοποιήσουν την απομακρυσμένη εκτέλεση κώδικα.
Εάν ένας εισβολέας αλυσοδένει αυτά τα τρία ελαττώματα, θα μπορούσε εύκολα να θέσει σε κίνδυνο ένα σύστημα που εκτελεί ευάλωτες εκδόσεις του TorchServe.
Μια επίδειξη της αλυσίδας επίθεσης ShellTorch μπορεί να δει παρακάτω.
Διορθώσεις ShellTorch
Η Oligo λέει ότι οι αναλυτές της σάρωναν τον ιστό για ευάλωτες αναπτύξεις και βρήκαν δεκάδες χιλιάδες διευθύνσεις IP εκτεθειμένες επί του παρόντος σε επιθέσεις ShellTorch, ορισμένες από τις οποίες ανήκουν σε μεγάλους οργανισμούς με παγκόσμια εμβέλεια.
“Όταν ένας εισβολέας μπορεί να παραβιάσει το δίκτυο ενός οργανισμού εκτελώντας κώδικα στον διακομιστή PyTorch του, μπορεί να τον χρησιμοποιήσει ως αρχικό βήμα για να μετακινηθεί πλευρικά στην υποδομή, προκειμένου να εξαπολύσει ακόμη πιο επιδράσεις, ειδικά σε περιπτώσεις όπου δεν υπάρχουν οι κατάλληλοι περιορισμοί ή οι τυπικοί έλεγχοι παρόν», εξηγεί
Oligo
.
Για να διορθωθούν αυτά τα τρωτά σημεία, οι χρήστες θα πρέπει να κάνουν αναβάθμιση σε
TorchServe 0.8.2
. Ωστόσο, αυτή η ενημέρωση δεν διορθώνει το CVE-2023-43654, αλλά εμφανίζει μια προειδοποίηση σχετικά με το SSRF στον χρήστη.
Στη συνέχεια, ρυθμίστε σωστά την κονσόλα διαχείρισης ορίζοντας το
διεύθυνση_διαχείρισης
στο http://127.0.0.1:8081 στο αρχείο config.properties. Αυτό θα προκαλέσει το TorchServe να συνδεθεί με τον localhost αντί για κάθε διεύθυνση IP που έχει ρυθμιστεί στον διακομιστή.
Τέλος, βεβαιωθείτε ότι ο διακομιστής σας ανακτά μοντέλα μόνο από αξιόπιστους τομείς, ενημερώνοντας το
επιτρεπόμενα_urls
στο αρχείο config.properties ανάλογα.
Η Amazon έχει επίσης
δημοσίευσε ένα δελτίο ασφαλείας
σχετικά με το CVE-2023-43654, παρέχοντας οδηγίες μετριασμού για πελάτες που χρησιμοποιούν Deep Learning Containers (DLC) σε EC2, EKS ή ECS.
Τέλος, η Oligo κυκλοφόρησε ένα
δωρεάν εργαλείο ελέγχου
που μπορούν να χρησιμοποιήσουν οι διαχειριστές για να ελέγξουν εάν οι παρουσίες τους είναι ευάλωτες σε επιθέσεις ShellTorch.
