Beveiligingsfouten in populaire ML-toolkits maken serverkapingen en escalatie van bevoegdheden mogelijk

Cybersecurity-onderzoekers hebben bijna twintig beveiligingsfouten ontdekt die zich uitstrekken over vijftien verschillende machine learning (ML)-gerelateerde open-sourceprojecten.

Deze omvatten kwetsbaarheden die zowel aan de server- als aan de clientzijde zijn ontdekt, aldus software supply chain-beveiligingsbedrijf JFrog in een analyse die vorige week werd gepubliceerd.

De zwakke punten aan de serverzijde “laten aanvallers toe belangrijke servers in de organisatie te kapen, zoals ML-modelregisters, ML-databases en ML-pijplijnen”, aldus het rapport.

De kwetsbaarheden, ontdekt in Weave, ZenML, Deep Lake, Vanna.AI en Mage AI, zijn onderverdeeld in bredere subcategorieën die het op afstand mogelijk maken om modelregisters en ML-databaseframeworks te kapen en ML Pipelines over te nemen.

Hieronder vindt u een korte beschrijving van de geïdentificeerde gebreken:

  • CVE-2024-7340 (CVSS-score: 8,8) – Een kwetsbaarheid bij het doorkruisen van directory’s in de Weave ML-toolkit die het lezen van bestanden over het hele bestandssysteem mogelijk maakt, waardoor een geauthenticeerde gebruiker met lage bevoegdheden zijn rechten kan escaleren naar een beheerdersrol door een bestand met de naam “api_keys. ibd” (behandeld in versie 0.50.8)
  • Een kwetsbaarheid voor onjuiste toegangscontrole in het ZenML MLOps-framework waarmee een gebruiker met toegang tot een beheerde ZenML-server zijn rechten kan verhogen van een kijker naar volledige beheerdersrechten, waardoor de aanvaller de mogelijkheid krijgt om de geheime winkel te wijzigen of te lezen (geen CVE-identificatie)
  • CVE-2024-6507 (CVSS-score: 8.1) – Een kwetsbaarheid voor opdrachtinjectie in de Deep Lake AI-georiënteerde database waardoor aanvallers systeemopdrachten kunnen injecteren bij het uploaden van een externe Kaggle-dataset vanwege een gebrek aan goede invoeropschoning (aangepakt in versie 3.9.11)
  • CVE-2024-5565 (CVSS-score: 8,1) – Een kwetsbaarheid voor snelle injectie in de Vanna.AI-bibliotheek die kan worden uitgebuit om externe code-uitvoering op de onderliggende host te bewerkstelligen
  • CVE-2024-45187 (CVSS-score: 7.1) – Een kwetsbaarheid voor onjuiste privilegetoewijzing waardoor gastgebruikers in het Mage AI-framework op afstand willekeurige code kunnen uitvoeren via de Mage AI-terminalserver vanwege het feit dat ze hoge privileges hebben gekregen en gedurende een standaardperiode actief blijven van 30 dagen ondanks verwijdering
  • CVE-2024-45188, CVE-2024-45189 en CVE-2024-45190 (CVSS-scores: 6,5) – Kwetsbaarheden bij het doorlopen van meerdere paden in Mage AI waardoor externe gebruikers met de rol “Viewer” willekeurige tekstbestanden van de Mage-server kunnen lezen via “File Content”, “Git Content” en “Pipeline Interaction” -verzoeken respectievelijk

“Aangezien MLOps-pijplijnen toegang kunnen hebben tot de ML-datasets, ML Model Training en ML Model Publishing van de organisatie, kan het exploiteren van een ML-pijplijn tot een extreem ernstige inbreuk leiden”, aldus JFrog.

“Elk van de aanvallen die in deze blog worden genoemd (ML-model-backdooring, ML-gegevensvergiftiging, enz.) kan door de aanvaller worden uitgevoerd, afhankelijk van de toegang van de MLOps-pijplijn tot deze bronnen.

De onthulling komt ruim twee maanden nadat het bedrijf meer dan twintig kwetsbaarheden heeft ontdekt die kunnen worden uitgebuit om zich op MLOps-platforms te richten.

Het volgt ook op de release van een defensief raamwerk met de codenaam Mantis dat gebruik maakt van snelle injectie als een manier om cyberaanvallen tegen te gaan. Grote taalmodellen (LLM’s) met een effectiviteit van meer dan 95%.

“Bij het detecteren van een geautomatiseerde cyberaanval, verwerkten Mantis zorgvuldig input in systeemreacties, waardoor de LLM van de aanvaller hun eigen operaties verstoorde (passieve verdediging) of zelfs de machine van de aanvaller in gevaar bracht (actieve verdediging), ” een groep academici van de George Mason Universiteit zei.

“Door doelbewust kwetsbare lokdiensten in te zetten om de aanvaller aan te trekken en door dynamische promptinjecties te gebruiken voor de LLM van de aanvaller, kan Mantis de aanvaller autonoom terughacken.”

Thijs Van der Does