Giriş
Google Cloud Vertex AI SDK’sında keşfedilen bir güvenlik açığı, saldırganların kurbanların makine öğrenimi modellerini ele geçirip bu modelleri kötü amaçlarla kullanmalarına olanak tanıyor. Bu durum, siber güvenlik açısından ciddi bir risk oluşturmakta ve kullanıcıların sistemlerini güncellemelerini zorunlu kılmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı, saldırganın sadece kendi Google Cloud projesine ve kurbanın proje ID’sine ihtiyaç duyması ile gerçekleşiyor. Vertex AI‘da bulunan bu güvenlik açığı, SDK’nın bir model yüklemesi için geçici bir Cloud Storage bucket’ı seçme yönteminden kaynaklanıyor.
- Sdk, bir staging_bucket yapılandırılmadığında, proje kimliğinden ve bölgeden öngörülebilir bir ad oluşturuyordu.
- Bu bucket’ın mevcut olup olmadığını kontrol etmesine rağmen, kurbanın sahip olup olmadığını kontrol etmiyordu.
Saldırgan, beklenen bu bucket’ı kendi projesinde önceden oluşturabiliyor ve kurbanın SDK’sı, model dosyalarını saldırganın bucket’ına yükleyebiliyordu. Sonuç olarak, saldırgan yüklenen modeli kötü amaçlı bir modelle değiştirebiliyordu.
Etkilenen Sistemler
Bu saldırı, Python ile geliştirilen birçok makine öğrenimi modelini etkiliyor. Özellikle pickle veya joblib gibi kütüphanelerle kaydedilen modeller, dosya yüklendiğinde kod çalıştırabiliyor. Bu durum, Vertex AI’nin aşağıdaki işlemlerine olanak sağlıyor:
- İleride değiştirilen modelin yüklenmesi ile saldırganın kodu çalıştırılabiliyor.
- OAuth token’ının çalınıp saldırgana gönderilerek, diğer model kaynaklarına erişim elde ediliyor.
Çözüm ve Korunma
Google, bu güvenlik açığını düzeltmek için 1.148.0 veya daha yeni bir sürüme güncellenmesi gerektiğini belirtiyor. Yapmanız gerekenler:
- 1.148.0 veya daha sonraki bir versiyona güncelleme yapın, böylece bucket sahiplik kontrolü aktif olacak.
- Model yüklerken, kontrolünüz altındaki bir staging_bucket belirleyin.
- Güvenlik açığının client SDK’sında bulunduğunu unutmayın, bu yüzden google-cloud-aiplatform sürümünü çalıştığı her alanda kontrol edin.
Ayrıca, bu yıl içinde Vertex AI’da ortaya çıkan ikinci öngörülebilir bucket adı açığı olduğu belirtiliyor. Önceki bir açık olan CVE-2026-2473, farklı bir bucket-squatting hatasıydı ve kullanıcıların modellerini çalmasına ve zehirlemesine olanak tanıyordu.
Sonuç
Sonuç olarak, Google Cloud Vertex AI kullanıcıları, sistem güncellemeleri yaparak bu tip saldırılara karşı kendilerini korumalıdır. Hızla güncelleme yaparak, güvenlik kontrollerini sağlamak kritik öneme sahiptir.
