Los investigadores de ciberseguridad han revelado un defecto de seguridad crítico en el Lightning Ai Studio Plataforma de desarrollo que, si se explota con éxito, podría permitir la ejecución de código remoto.
La vulnerabilidad, calificada por una puntuación CVSS de 9.4, permite a los “atacantes potencialmente ejecutar comandos arbitrarios con privilegios raíz” al explotar un parámetro de URL oculto, la firma de seguridad de la aplicación Noma dicho En un informe compartido con The Hacker News.
“Este nivel de acceso podría aprovecharse hipotéticamente para una variedad de actividades maliciosas, incluida la extracción de claves sensibles de las cuentas específicas”, dijeron los investigadores Sasi Levi, Alon Tron y Gal Moyal.
El problema está integrado en una pieza de código JavaScript que podría facilitar el acceso sin restricciones al entorno de desarrollo de una víctima, así como ejecutar comandos arbitrarios en un objetivo autenticado en un contexto privilegiado.
Noma dijo que encontró un parámetro oculto llamado “comando” en URL específicas del usuario, por ejemplo, “Lightning.ai/profile_username/Vision-Model/studios/studio_path/terminal?fullScreen=true&commmand=cmvzc …”—que podría usarse para pasar una instrucción codificada base64 para ejecutarse en el host subyacente.
Peor aún, la escapatoria podría armarse para ejecutar comandos que pueden exfiltrar información crítica, como tokens de acceso e información del usuario a un servidor controlado por el atacante.
La explotación exitosa de la vulnerabilidad significa que podría permitir que un adversario ejecute comandos privilegiados arbitrarios y obtenga acceso raíz, recolecte datos confidenciales y manipule el sistema de archivos para crear, eliminar o modificar archivos en el servidor.
Todo lo que un atacante necesita para lograr esto es el conocimiento previo de un nombre de usuario de perfil y su estudio de IA Lightning asociado, detalles que son disponible públicamente a través de la galería de plantillas de estudio.
Armado con esta información, el actor de amenaza puede crear un enlace malicioso de tal manera que desencadena la ejecución del código en el estudio identificado con permisos de raíz. Después de la divulgación responsable el 14 de octubre de 2024, el problema del equipo Lightning AI resolvió el problema a partir del 25 de octubre.
“Vulnerabilidades como estas subrayan la importancia de mapear y asegurar las herramientas y sistemas utilizados para construir, capacitar y desplegar modelos de IA debido a su naturaleza sensible”, dijeron los investigadores.
About the Author
