Les chercheurs en cybersécurité ont révélé plusieurs failles de sécurité critiques dans le Outil TorchServe pour servir et mettre à l’échelle des modèles PyTorch qui pourraient être chaînés pour réaliser l’exécution de code à distance sur les systèmes concernés.
La société israélienne de sécurité des applications d’exécution Oligo, qui a fait la découverte, a inventé les vulnérabilités. Torche Coquille.
« Ces vulnérabilités […] peut conduire à une chaîne complète d’exécution de code à distance (RCE), laissant d’innombrables milliers de services et d’utilisateurs finaux – y compris certaines des plus grandes entreprises du monde – ouverts à un accès non autorisé et à l’insertion de modèles d’IA malveillants, et potentiellement à une prise de contrôle complète du serveur, » les chercheurs en sécurité Idan Levcovich, Guy Kaplan et Gal Elbaz dit.
La liste des défauts, qui ont été corrigés dans version 0.8.2est comme suit –
- Pas de CVE – Mauvaise configuration de l’API de l’interface de gestion non authentifiée (0.0.0.0)
- CVE-2023-43654 (score CVSS : 7,2) – Une falsification de requête côté serveur distant (SSRF) qui conduit à l’exécution de code à distance.
- CVE-2022-1471 (score CVSS : 9,9) – Utilisation d’un version non sécurisée de la bibliothèque open source SnakeYAML qui permet une désérialisation non sécurisée des objets Java
Exploitation réussie du défauts mentionnés ci-dessus pourrait permettre à un attaquant d’envoyer une requête pour télécharger un modèle malveillant à partir d’une adresse contrôlée par un acteur, conduisant à l’exécution de code arbitraire.
En d’autres termes, un attaquant pouvant accéder à distance au serveur de gestion peut également télécharger un modèle malveillant, qui permet l’exécution de code sans nécessiter aucune authentification sur un serveur TorchServe par défaut.
Plus inquiétant encore, les lacunes pourraient être enchaînées avec CVE-2022-1471 pour ouvrir la voie à l’exécution de code et à la prise de contrôle complète des instances exposées.
« Les modèles d’IA peuvent inclure un fichier YAML pour déclarer la configuration souhaitée. Ainsi, en téléchargeant un modèle avec un fichier YAML conçu de manière malveillante, nous avons pu déclencher une attaque de désérialisation dangereuse qui a entraîné l’exécution de code sur la machine », ont déclaré les chercheurs.
La gravité des problèmes a incité Amazon Web Services (AWS) à émettre un consultatif exhortant les clients utilisant les conteneurs d’apprentissage profond (DLC) d’inférence PyTorch 1.13.1, 2.0.0 ou 2.0.1 dans EC2, EKS ou ECS publiés avant le 11 septembre 2023, à mettre à jour vers TorchServe version 0.8.2.
« En utilisant les privilèges accordés par ces vulnérabilités, il est possible de visualiser, modifier, voler et supprimer des modèles d’IA et des données sensibles entrant et sortant du serveur TorchServe cible », ont déclaré les chercheurs.
« Ce qui rend ces vulnérabilités encore plus dangereuses : lorsqu’un attaquant exploite le serveur de modèle, il peut accéder et modifier les données sensibles entrant et sortant du serveur TorchServe cible, nuisant ainsi à la confiance et à la crédibilité de l’application.