🔥 Уязвимост в Llama Framework на Meta излага AI системите на риск от отдалечено изпълнение на код (RCE)

Изследователи по киберсигурност разкриха сериозна уязвимост в Llama Framework на Meta, която позволява на атакуващите да изпълняват произволен код (RCE) на сървъра за машинно разсъждение.

Наскоро бе разкрита сериозна уязвимост в Llama Framework на Meta, която може да позволи на атакуващите отдалечено изпълнение на произволен код (Remote Code Execution – RCE) върху сървърите, използващи този модел. Уязвимостта, идентифицирана като CVE-2024-50050, получи оценка 6.3 по CVSS, но според експерти от Snyk, реалният риск е много по-висок – 9.3 (критична уязвимост).

Пропускът се дължи на небезопасна десериализация на данни, което позволява на атакуващите да изпълняват злонамерен код чрез изпращане на специално подготвени обекти към сървъра.

Как работи атаката?

Уязвимостта се намира в Llama Stack, който дефинира API интерфейси за разработка на AI приложения с моделите на Meta. Конкретно, проблемът засяга Python Inference API, който използва pickle за десериализация на Python обекти.

Защо това е проблем?

pickle е популярен метод за сериализация в Python, но е известен с това, че позволява изпълнение на код при десериализация, ако бъдат подадени злонамерени обекти.

При Llama Framework тази уязвимост се проявява при използването на ZeroMQ socket за комуникация. Ако този сокет е изложен в мрежата, атакуващият може:

1. Да изпрати зловреден обект чрез сокета.
2. recv_pyobj() автоматично ще десериализира този обект.
3. Кодът в зловредния обект ще бъде изпълнен на целевата машина, осигурявайки пълен контрол на атакуващия.

Последствия

Ако атакуващият успее да използва уязвимостта, възможните сценарии включват:

• Пълен контрол върху AI сървърите – злонамереното лице може да изпълнява команди, да инсталира бекдор и да модифицира поведението на модела.
• Кражба на данни – ако AI моделът обработва конфиденциална информация, атакуващият може да я ексфилтрира.
• Използване на сървъра за по-нататъшни атаки – AI инфраструктурата може да бъде превърната в част от ботнет или използвана за разпространение на зловреден софтуер.

Как Meta адресира проблема?

След докладване на уязвимостта на 24 септември 2024 г., Meta публикува кръпка на 10 октомври 2024 г. в версия 0.0.41.

Основната промяна е:

• Замяна на pickle със JSON за сериализация, което елиминира риска от изпълнение на код при десериализация.
• Поправка в pyzmq, който осигурява достъп до ZeroMQ.

Други уязвимости в AI инфраструктури

Тази уязвимост не е изолиран случай. Наскоро бяха открити други сериозни проблеми в AI системи.

OpenAI ChatGPT Crawler – инструмент за DDoS атаки

Изследователят Benjamin Flesch разкри начин, по който OpenAI ChatGPT може неволно да бъде използван за разпределена атака за отказ на услуга (DDoS) срещу уебсайтове.

Как работи атаката?

1. ChatGPT API приема HTTP POST заявки със списък от URL адреси.
2. Няма проверка за дублирани URL адреси или лимит за броя на линковете в заявката.
3. Атакуващият изпраща хиляди URL адреси в една заявка.
4. OpenAI crawler изпраща всички заявки към целевия сайт без ограничения.
5. Това води до DDoS атака, която може да изчерпи ресурсите на жертвата.

OpenAI вече е адресирал проблема, но това разкрива нов тип атаки, при които AI инфраструктура може да бъде използвана като оръжие.

Несигурни практики в AI кодови асистенти

Изследване на Truffle Security разкри, че AI-базирани кодови асистенти често препоръчват несигурни решения, включително:

• Твърдо кодирани API ключове и пароли в изходния код.
• Липса на защита срещу инжектиране на код.

Тези практики могат лесно да доведат до изтичане на чувствителна информация и компрометиране на приложения.

Сигурността на AI системите става все по-важна, тъй като уязвимости като CVE-2024-50050 показват, че дори големи компании като Meta не са имунизирани срещу рискове.

Как да се защитим?

1. Актуализирайте до последната версия на Meta Llama Framework (0.0.41).
2. Избягвайте използването на pickle за сериализация на данни.
3. Ако използвате AI сървъри, уверете се, че ZeroMQ сокетите не са публично достъпни.
4. Следете сигурността на AI инфраструктурата си и прилагайте защити срещу supply-chain атаки.

AI не създава напълно нови заплахи, но ги прави по-ефективни, по-бързи и по-трудни за засичане. Компаниите трябва да започнат да прилагат по-строги мерки за защита, за да предотвратят злоупотреби.