Исследовательская группа Oligo Security обнаружила
комплекс критических уязвимостей в open source инструменте для работы с ИИ-моделями TorchServe , который используется десятками тысяч серверов в интернете, включая сервера крупных организаций. Уязвимости получили общее название ShellTorch.
TorchServe, поддерживаемый Meta* и Amazon, является популярным инструментом для развертывания и масштабирования моделей PyTorch в промышленной среде. Среди пользователей сервиса – ученые, занимающиеся исследованиями в области искусственного интеллекта, а также крупные компании, включая Amazon, OpenAI, Tesla, Azure, Google и Intel.
Уязвимости ShellTorch предоставляют возможность несанкционированного доступа к серверам и удаленному выполнению кода на уязвимых системах. Проблемы затрагивают версии TorchServe с 0.3.0 по 0.8.1.
Первая уязвимость связана с неправильной конфигурацией API управления, что приводит к тому, что веб-панель по умолчанию привязывается к IP-адресу 0.0.0.0, а не к localhost, что делает ее доступной для внешних запросов. Из-за отсутствия аутентификации любой пользователь может загрузить злонамеренные модели с внешнего адреса.
Вторая проблема, отслеживаемая как CVE-2023-43654 (CVSS: 9.8), это ошибка подделки запроса на стороне сервера (Server-Side Request Forgery, SSRF), которая в случае эксплуатации в составе цепочки уязвимостей может привести к удаленному выполнению кода (Remote Code Execution, RCE).
Третья уязвимость, отслеживаемая как CVE-2022-1471 (CVSS: 9.8), связана с проблемой десериализации Java, которая также может привести к удаленному выполнению кода из-за небезопасной десериализации в библиотеке SnakeYAML.
Аналитики Oligo обнаружили десятки тысяч IP-адресов, подверженных атакам ShellTorch, некоторые из них принадлежат крупным международным организациям.
Для устранения уязвимостей пользователям рекомендуется обновиться до версии TorchServe 0.8.2 , выпущенной 28 августа 2023 года. Кроме того, пользователи должны правильно настроить консоль управления, задав адрес управления как http://127.0.0.1:8081 в файле config.properties, чтобы TorchServe привязывался к localhost, а не ко всем настроенным на сервере IP-адресам. Также следует убедиться, что сервер получает модели только из доверенных доменов. Для этого нужно обновить allowed_urls в файле config.properties соответственно.
* Компания
Источник: SecurityLab