Se ha revelado una falla de seguridad de alta gravedad en el marco del modelo de lenguaje grande (LLM) Llama de Meta que, si se explota con éxito, podría permitir a un atacante ejecutar código arbitrario en el servidor de inferencia llama-stack.
La vulnerabilidad, rastreada como CVE-2024-50050se le ha asignado una puntuación CVSS de 6,3 sobre 10,0. La empresa de seguridad de la cadena de suministro Snyk, por otro lado, ha asignado Tiene una calificación de gravedad crítica de 9,3.
“Las versiones afectadas de meta-llama son vulnerables a la deserialización de datos que no son de confianza, lo que significa que un atacante puede ejecutar código arbitrario enviando datos maliciosos que se deserializan”, dijo el investigador de Oligo Security, Avi Lumelsky. dicho en un análisis a principios de esta semana.
La deficiencia, según la empresa de seguridad en la nube, reside en un componente llamado Pila de llamasque define un conjunto de interfaces API para el desarrollo de aplicaciones de inteligencia artificial (IA), incluido el uso de los propios modelos Llama de Meta.
Específicamente, tiene que ver con una falla de ejecución remota de código en la implementación de la API de inferencia de Python de referencia, que deserializa automáticamente objetos de Python usando pickle, un formato que ha sido considerado riesgoso debido a la posibilidad de ejecución de código arbitrario cuando se cargan datos maliciosos o que no son de confianza utilizando la biblioteca.
“En escenarios donde el Zócalo ZeroMQ está expuesto a través de la red, los atacantes podrían explotar esta vulnerabilidad enviando objetos maliciosos diseñados al socket”, dijo Lumelsky. “Dado que recv_pyobj desenredará estos objetos, un atacante podría lograr la ejecución de código arbitrario (RCE) en la máquina host”.
Tras la divulgación responsable el 24 de septiembre de 2024, la emisión fue dirigido por Meta el 10 de octubre en versión 0.0.41. También ha sido remediado en pyzmquna biblioteca de Python que proporciona acceso a la biblioteca de mensajería ZeroMQ.
En un aviso emitido por Meta, la empresa dicho solucionó el riesgo de ejecución remota de código asociado con el uso de pickle como formato de serialización para la comunicación de socket al cambiar al formato JSON.
Esta no es la primera vez que se descubren vulnerabilidades de deserialización en marcos de IA. En agosto de 2024, Oligo detallado una “vulnerabilidad en la sombra” en el marco Keras de TensorFlow, un bypass para CVE-2024-3660 (Puntuación CVSS: 9,8) que podría dar lugar a la ejecución de código arbitrario debido al uso del módulo marshal inseguro.
El desarrollo se produce cuando el investigador de seguridad Benjamin Flesch reveló una falla de alta gravedad en el rastreador ChatGPT de OpenAI, que podría usarse como arma para iniciar un ataque distribuido de denegación de servicio (DDoS) contra sitios web arbitrarios.
El problema es el resultado del manejo incorrecto de las solicitudes HTTP POST al archivo “chatgpt[.]com/backend-api/attributions”, que está diseñada para aceptar una lista de URL como entrada, pero no verifica si la misma URL aparece varias veces en la lista ni impone un límite en la cantidad de hipervínculos que se pueden pasar como entrada .
Esto abre un escenario en el que un mal actor podría transmitir miles de hipervínculos dentro de una sola solicitud HTTP, lo que provocaría que OpenAI envíe todas esas solicitudes al sitio víctima sin intentar limitar la cantidad de conexiones o evitar la emisión de solicitudes duplicadas.
Dependiendo de la cantidad de hipervínculos transmitidos a OpenAI, proporciona un factor de amplificación significativo para posibles ataques DDoS, abrumando efectivamente los recursos del sitio objetivo. Desde entonces, la empresa de inteligencia artificial solucionó el problema.
“El rastreador ChatGPT puede activarse para realizar DDoS en un sitio web víctima a través de una solicitud HTTP a una API ChatGPT no relacionada”, Flesch dicho. “Este defecto en el software OpenAI generará un ataque DDoS en un sitio web víctima desprevenido, utilizando múltiples rangos de direcciones IP de Microsoft Azure en los que se ejecuta el rastreador ChatGPT”.
La divulgación también sigue a un informe de Truffle Security de que los populares asistentes de codificación impulsados por IA “recomiendan” codificar claves y contraseñas API, un consejo arriesgado que podría inducir a error a programadores inexpertos a introducir debilidades de seguridad en sus proyectos.
“Los LLM están ayudando a perpetuarlo, probablemente porque fueron capacitados en todas las prácticas de codificación inseguras”, dijo el investigador de seguridad Joe Leon. dicho.
Las noticias sobre vulnerabilidades en los marcos LLM también surgen tras una investigación sobre cómo se podría abusar de los modelos para potenciar el ciclo de vida del ciberataque, incluida la instalación de la carga útil del ladrón de la etapa final y el comando y control.
“Las amenazas cibernéticas que plantean los LLM no son una revolución, sino una evolución”, afirma el investigador de Deep Instinct, Mark Vaitzman. dicho. “No hay nada nuevo ahí, los LLM simplemente están haciendo que las amenazas cibernéticas sean mejores, más rápidas y más precisas a mayor escala. Los LLM se pueden integrar exitosamente en cada fase del ciclo de vida del ataque con la guía de un conductor experimentado. Es probable que estas habilidades crezcan en autonomía a medida que avanza la tecnología subyacente”.
Investigaciones recientes también han demostrado un nuevo método llamado genes de sombra que se puede utilizar para identificar la genealogía del modelo, incluida su arquitectura, tipo y familia, aprovechando su gráfico computacional. El enfoque se basa en una técnica de ataque previamente revelada denominada ShadowLogic.
“Las firmas utilizadas para detectar ataques maliciosos dentro de un gráfico computacional podrían adaptarse para rastrear e identificar patrones recurrentes, llamados subgrafos recurrentes, permitiéndoles determinar la genealogía arquitectónica de un modelo”, dijo la firma de seguridad de inteligencia artificial HiddenLayer en un comunicado compartido con The Hacker News.
“Comprender las familias de modelos que se utilizan dentro de su organización aumenta el conocimiento general de su infraestructura de IA, lo que permite una mejor gestión de la postura de seguridad”.
About the Author
