Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Advertencia: los modelos de PyTorch son vulnerables a la ejecución remota de código a través de ShellTorch
  • Tecnología

Advertencia: los modelos de PyTorch son vulnerables a la ejecución remota de código a través de ShellTorch

teknomers 3 de Ekim de 2023 (Last updated: 3 de Ekim de 2023) 3 minutes read
Advertencia: los modelos de PyTorch son vulnerables a la ejecución


03 de octubre de 2023THNInteligencia artificial/amenaza cibernética

Los investigadores de ciberseguridad han revelado múltiples fallas de seguridad críticas en el Herramienta TorchServe para servir y escalar modelos de PyTorch que podrían encadenarse para lograr la ejecución remota de código en los sistemas afectados.

La empresa israelí de seguridad de aplicaciones en tiempo de ejecución Oligo, que hizo el descubrimiento, ha acuñado las vulnerabilidades. Antorcha de concha.

“Estas vulnerabilidades […] puede conducir a una ejecución remota de código (RCE) de cadena completa, dejando miles de servicios y usuarios finales, incluidas algunas de las empresas más grandes del mundo, abiertos al acceso no autorizado y a la inserción de modelos de IA maliciosos, y potencialmente a una toma total del servidor”. investigadores de seguridad Idan Levcovich, Guy Kaplan y Gal Elbaz dicho.

La seguridad cibernética

La lista de defectos, que se han abordado en versión 0.8.2es como sigue –

  • Sin CVE: configuración incorrecta de la API de la interfaz de administración no autenticada (0.0.0.0)
  • CVE-2023-43654 (Puntuación CVSS: 7,2) – Una falsificación de solicitud remota del lado del servidor (SSRF) que conduce a la ejecución remota de código.
  • CVE-2022-1471 (Puntuación CVSS: 9,9) – Uso de un versión insegura de la biblioteca de código abierto SnakeYAML que permite la deserialización insegura de objetos Java

Explotación exitosa del defectos antes mencionados podría permitir a un atacante enviar una solicitud para cargar un modelo malicioso desde una dirección controlada por el actor, lo que llevaría a la ejecución de código arbitrario.

En otras palabras, un atacante que pueda acceder de forma remota al servidor de administración también puede cargar un modelo malicioso, que permite la ejecución de código sin requerir ninguna autenticación en ningún servidor TorchServe predeterminado.

Lo que es aún más preocupante es que las deficiencias podrían encadenarse con CVE-2022-1471 para allanar el camino para la ejecución del código y la toma total de control de las instancias expuestas.

La seguridad cibernética

“Los modelos de IA pueden incluir un archivo YAML para declarar su configuración deseada, por lo que al cargar un modelo con un archivo YAML creado con fines malintencionados, pudimos desencadenar un ataque de deserialización inseguro que resultó en la ejecución de código en la máquina”, dijeron los investigadores.

La gravedad de los problemas ha llevado a Amazon Web Services (AWS) a emitir una consultivo Instamos a los clientes que utilizan contenedores de aprendizaje profundo (DLC) de inferencia de PyTorch 1.13.1, 2.0.0 o 2.0.1 en EC2, EKS o ECS lanzados antes del 11 de septiembre de 2023 a actualizar a la versión 0.8.2 de TorchServe.

“Utilizando los privilegios otorgados por estas vulnerabilidades, es posible ver, modificar, robar y eliminar modelos de IA y datos confidenciales que fluyen hacia y desde el servidor TorchServe objetivo”, dijeron los investigadores.

“Lo que hace que estas vulnerabilidades sean aún más peligrosas: cuando un atacante explota el servidor de servicio modelo, puede acceder y alterar datos confidenciales que entran y salen del servidor TorchServe objetivo, dañando la confianza y credibilidad de la aplicación”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Alivio para Kim que ‘robó’ piedras en Turquía: su caso se verá en tres semanas
Next: Árbitros ingleses: ¿lo suficientemente buenos para la mejor liga del mundo?

Related Stories

El iPhone 18 Pro Max contaría con una batería gigantesca
  • Tecnología

El iPhone 18 Pro Max contaría con una batería gigantesca

teknomers 2 de Temmuz de 2026
SK Hynix va a invertir más de 56 mil millones
  • Tecnología

SK Hynix va a invertir más de 56 mil millones de euros en nuevas fábricas de producción de chips

teknomers 2 de Temmuz de 2026
Gemini: Google prueba la IA que ve la carretera en
  • Tecnología

Gemini: Google prueba la IA que ve la carretera en coches

teknomers 2 de Temmuz de 2026

You May Have Missed

  • General

Donación de Taylor Swift: Taylor Swift y Travis Kelce donan $26 millones a la caridad antes de la supuesta celebración de su boda – ¿por qué se benefician bancos de alimentos, hospitales infantiles y escuelas en todo el país?

teknomers 2 de Temmuz de 2026
  • General

Hasta 80 euros de multa: Salzburgo declara la guerra a los coches de los turistas en su centro histórico

teknomers 2 de Temmuz de 2026
  • General

Lección de vida sobre la no violencia en la resolución de conflictos: Proverbio griego del día: ‘Gana por persuasión, no por…’ – este inspirador dicho griego enseña lecciones de vida sobre por qué los grandes líderes nunca confían en la fuerza y por qué la comunicación es más poderosa que la autoridad.

teknomers 2 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Katie Boulter y Heather Watson entre las jugadoras británicas eliminadas en dobles

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.