Los investigadores de ciberseguridad advierten sobre los riesgos de seguridad en la cadena de suministro de software de aprendizaje autom\u00e1tico (ML) tras el descubrimiento de m\u00e1s de 20 vulnerabilidades que podr\u00edan explotarse para atacar plataformas MLOps.<\/p>\n
Estas vulnerabilidades, que se describen como fallas inherentes y basadas en la implementaci\u00f3n, podr\u00edan tener graves consecuencias, que van desde la ejecuci\u00f3n de c\u00f3digo arbitrario hasta la carga de conjuntos de datos maliciosos.<\/p>\n
Las plataformas MLOps ofrecen la posibilidad de dise\u00f1ar y ejecutar una secuencia de modelos de ML, con un registro de modelos que act\u00faa como un repositorio utilizado para almacenar y entrenar modelos de ML en distintas versiones. Estos modelos pueden luego integrarse en una aplicaci\u00f3n o permitir que otros clientes los consulten mediante una API (tambi\u00e9n conocido como modelo como servicio).<\/p>\n
“Las vulnerabilidades inherentes son vulnerabilidades que son causadas por los formatos y procesos subyacentes utilizados en la tecnolog\u00eda de destino”, dijeron los investigadores de JFrog. dicho<\/a> en un informe detallado.<\/p>\n Algunos ejemplos de vulnerabilidades inherentes incluyen el abuso de modelos ML para ejecutar c\u00f3digo elegido por el atacante aprovechando el hecho de que los modelos admiten la ejecuci\u00f3n autom\u00e1tica de c\u00f3digo al cargarse (por ejemplo, archivos de modelos Pickle).<\/p>\n Este comportamiento tambi\u00e9n se extiende a ciertos formatos de conjuntos de datos y bibliotecas, que permiten la ejecuci\u00f3n autom\u00e1tica de c\u00f3digo, abriendo as\u00ed potencialmente la puerta a ataques de malware cuando simplemente se carga un conjunto de datos disponible p\u00fablicamente.<\/p>\n Otro ejemplo de vulnerabilidad inherente afecta a JupyterLab (anteriormente Jupyter Notebook), un entorno computacional interactivo basado en web que permite a los usuarios ejecutar bloques (o celdas) de c\u00f3digo y ver los resultados correspondientes.<\/p>\n “Un problema inherente que muchos desconocen es el manejo de la salida HTML cuando se ejecutan bloques de c\u00f3digo en Jupyter”, se\u00f1alaron los investigadores. “La salida de su c\u00f3digo Python puede emitir HTML y [JavaScript] que ser\u00e1 felizmente reproducido por su navegador.”<\/p>\n El problema aqu\u00ed es que el resultado de JavaScript, cuando se ejecuta, no est\u00e1 aislado de la aplicaci\u00f3n web principal y la aplicaci\u00f3n web principal puede ejecutar autom\u00e1ticamente c\u00f3digo Python arbitrario.<\/p>\n En otras palabras, un atacante podr\u00eda generar un c\u00f3digo JavaScript malicioso que agregue una nueva celda en el cuaderno JupyterLab actual, inyecte c\u00f3digo Python en \u00e9l y luego lo ejecute. Esto es particularmente cierto en los casos en que se explota una vulnerabilidad de secuencias de comandos entre sitios (XSS).<\/p>\n Con ese fin, JFrog dijo que identific\u00f3 una falla XSS en MLFlow (CVE-2024-27132<\/a>Puntuaci\u00f3n CVSS: 7,5) que se debe a una falta de desinfecci\u00f3n suficiente al ejecutar un sistema no confiable. receta<\/a>lo que resulta en la ejecuci\u00f3n de c\u00f3digo del lado del cliente en JupyterLab.<\/p>\n “Una de las principales conclusiones de esta investigaci\u00f3n es que debemos tratar todas las vulnerabilidades XSS en las bibliotecas ML como posible ejecuci\u00f3n de c\u00f3digo arbitrario, ya que los cient\u00edficos de datos pueden usar estas bibliotecas ML con Jupyter Notebook”, dijeron los investigadores.<\/p>\n El segundo conjunto de fallas se relaciona con debilidades de implementaci\u00f3n, como la falta de autenticaci\u00f3n en plataformas MLOps, lo que potencialmente permite que un actor de amenazas con acceso a la red obtenga capacidades de ejecuci\u00f3n de c\u00f3digo abusando de la funci\u00f3n ML Pipeline.<\/p>\n Estas amenazas no son te\u00f3ricas, ya que los adversarios con motivaciones econ\u00f3micas abusan de dichas lagunas, como se observ\u00f3 en el caso de Anyscale Ray sin parchear (CVE-2023-48022, puntuaci\u00f3n CVSS: 9,8), para implementar mineros de criptomonedas.<\/p>\n Un segundo tipo de vulnerabilidad de implementaci\u00f3n es un escape de contenedor dirigido a Seldon Core que permite a los atacantes ir m\u00e1s all\u00e1 de la ejecuci\u00f3n del c\u00f3digo para moverse lateralmente a trav\u00e9s del entorno de nube y acceder a los modelos y conjuntos de datos de otros usuarios cargando un modelo malicioso en el servidor de inferencia.<\/p>\n El resultado neto de encadenar estas vulnerabilidades es que no s\u00f3lo podr\u00edan utilizarse como arma para infiltrarse y propagarse dentro de una organizaci\u00f3n, sino tambi\u00e9n para comprometer servidores.<\/p>\n “Si est\u00e1s implementando una plataforma que permite el servicio de modelos, ahora debes saber que cualquiera que pueda servir un nuevo modelo tambi\u00e9n puede ejecutar c\u00f3digo arbitrario en ese servidor”, dijeron los investigadores. “Aseg\u00farate de que el entorno que ejecuta el modelo est\u00e9 completamente aislado y protegido contra una fuga de contenedores”.<\/p>\n La revelaci\u00f3n se produce cuando la Unidad 42 de Palo Alto Networks detallado<\/a> dos vulnerabilidades ahora parcheadas en el marco de inteligencia artificial generativa de c\u00f3digo abierto LangChain (CVE-2023-46229 y CVE-2023-44467) que podr\u00edan haber permitido a los atacantes ejecutar c\u00f3digo arbitrario y acceder a datos confidenciales, respectivamente.<\/p>\n El mes pasado, Trail of Bits tambi\u00e9n revel\u00f3<\/a> cuatro problemas en Ask Astro, una aplicaci\u00f3n de chatbot de c\u00f3digo abierto de generaci\u00f3n aumentada de recuperaci\u00f3n (RAG), que podr\u00edan provocar envenenamiento de la salida del chatbot, ingesta inexacta de documentos y posible denegaci\u00f3n de servicio (DoS).<\/p>\n As\u00ed como se est\u00e1n exponiendo problemas de seguridad en aplicaciones impulsadas por inteligencia artificial, tambi\u00e9n se est\u00e1n descubriendo t\u00e9cnicas ideado<\/a> para envenenar los conjuntos de datos de entrenamiento con el objetivo final de enga\u00f1ar a los modelos de lenguaje grandes (LLM) para que produzcan c\u00f3digo vulnerable.<\/p>\n “A diferencia de los ataques recientes que incorporan cargas \u00fatiles maliciosas en secciones detectables o irrelevantes del c\u00f3digo (por ejemplo, comentarios), CodeBreaker aprovecha los LLM (por ejemplo, GPT-4) para una transformaci\u00f3n sofisticada de la carga \u00fatil (sin afectar las funcionalidades), lo que garantiza que tanto los datos envenenados para el ajuste fino como el c\u00f3digo generado puedan evadir la detecci\u00f3n de vulnerabilidades s\u00f3lidas”, dijo un grupo de acad\u00e9micos de la Universidad de Connecticut. dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Investigadores-identifican-mas-de-20-vulnerabilidades-en-la-cadena-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n