Meta’s LLAMA Framework Flaw legt AI -systemen bloot aan externe code -uitvoeringsrisico’s

Een beveiligingsfout met hoge ernstige beveiliging is bekendgemaakt in het kader LLAMA LAME LAGE LANGE LANGE LANGE MODEL (LLM) dat, indien met succes uitgebuit, een aanvaller in staat zou stellen om willekeurige code uit te voeren op de LLAMA-Stack Inference-server.

De kwetsbaarheid, gevolgd als CVE-2024-50050, heeft een CVSS-score van 6,3 van 10,0 toegewezen. Supply chain beveiligingsbedrijf Snyk daarentegen heeft het een kritieke ernstrating van 9.3 toegewezen.

“De getroffen versies van meta-llama zijn kwetsbaar voor deserialisering van niet-vertrouwde gegevens, wat betekent dat een aanvaller willekeurige code kan uitvoeren door kwaadaardige gegevens te verzenden die zijn gedeserialiseerd,” zei Oligo-beveiligingsonderzoeker Avi Lumelsky eerder deze week in een analyse.

De tekortkoming, volgens het Cloud Security Company, woont in een component genaamd Lama Stack, die een set API -interfaces definieert voor de ontwikkeling van kunstmatige intelligentie (AI), inclusief het gebruik van de eigen LLA -modellen van Meta.

In het bijzonder heeft het te maken met een externe code -uitvoeringsfout in de referentie Python Inference API -implementatie, is gevonden om Python -objecten automatisch te deserialiseren met behulp van Pickle, een formaat dat wordt beschouwd als risicovol vanwege de mogelijkheid van willekeurige code -uitvoering wanneer niet -vertrouwde of kwaadaardige gegevens laadt met behulp van de bibliotheek.

“In scenario’s waarin de ZEROMQ -socket wordt blootgesteld via het netwerk, kunnen aanvallers deze kwetsbaarheid exploiteren door vervaardigde kwaadaardige objecten naar de socket te sturen,” zei Lumelsky. “Aangezien RECV_PYOBJ deze objecten ontkoppelt, zou een aanvaller willekeurige code -uitvoering (RCE) op de hostmachine kunnen bereiken.”

Na verantwoorde openbaarmaking op 24 september 2024, werd de kwestie op 10 oktober aangepakt door Meta in versie 0.0.41. Het is ook verholpen in PYZMQ, een Python -bibliotheek die toegang biedt tot de ZeromQ -berichtenbibliotheek.

In een advies uitgegeven door Meta zei het bedrijf dat het het externe code -uitvoeringsrisico heeft opgelost dat verband hield met het gebruik van Pickle als een serialisatie -indeling voor socketcommunicatie door over te schakelen naar het JSON -formaat.

Dit is niet de eerste keer dat dergelijke deserialisatie -kwetsbaarheden zijn ontdekt in AI -kaders. In augustus 2024 beschreef Oligo een “schaduwkwetsbaarheid” in het Keras Framework van TensorFlow, een bypass voor CVE-2024-3660 (CVSS-score: 9.8) die zou kunnen leiden tot willekeurige code-uitvoering vanwege het gebruik van de onveilige marshal-module.

De ontwikkeling komt wanneer beveiligingsonderzoeker Benjamin Flesch onthulde een hoogse fout in Openai’s Chatgpt crawler, die kan worden bewapend om een ​​gedistribueerde Denial-of-Service (DDOS) -aanval op willekeurige websites te initiëren.

Het probleem is het resultaat van een onjuiste verwerking van HTTP-postverzoeken aan de API “chatgpt (.) Com/backend-API/Attributions”, die is ontworpen om een ​​lijst met URL’s als invoer te accepteren, maar geen van beide controleert of dezelfde URL er meerdere verschijnt Tijden in de lijst handhaven noch een limiet op het aantal hyperlinks dat als invoer kan worden doorgegeven.

Lama -raamwerk

Dit opent een scenario waarbij een slechte acteur duizenden hyperlinks binnen een enkel HTTP -verzoek zou kunnen verzenden, waardoor OpenAI al die verzoeken naar de slachtofferplaats stuurt zonder te proberen het aantal verbindingen te beperken of te voorkomen dat duplicaatverzoeken worden uitgegeven.

Afhankelijk van het aantal hyperlinks dat wordt verzonden naar OpenAI, biedt het een significante versterkingsfactor voor mogelijke DDOS -aanvallen, waardoor de middelen van de doelsite effectief overweldigen. Het AI -bedrijf heeft sindsdien het probleem opgenomen.

“De chatgpt crawler kan worden geactiveerd naar DDOS een slachtofferwebsite via HTTP -verzoek aan een niet -gerelateerde chatgpt -API,” zei Flesch. “Dit defect in OpenAI -software zal een DDoS -aanval voortbrengen op een nietsvermoedende slachtofferwebsite, met behulp van meerdere Microsoft Azure IP -adresbereiken waarop Chatgpt Crawler actief is.”

De openbaarmaking volgt ook een rapport van truffelbeveiliging dat populaire AI-aangedreven codeerassistenten “hardcoderende API-toetsen en wachtwoorden” aanbevelen “, een riskant advies dat onervaren programmeurs zou kunnen misleiden om beveiligingszwaktes in hun projecten te introduceren.

“LLMS helpt het in stand te houden, waarschijnlijk omdat ze zijn getraind in alle onzekere coderingspraktijken,” zei beveiligingsonderzoeker Joe Leon.

Nieuws over kwetsbaarheden in LLM-frameworks volgt ook onderzoek naar hoe de modellen kunnen worden misbruikt om de levenscyclus van de cyberaanval te empoweren, inclusief het installeren van de laatste payload en command-and-control.

“De cyberdreigingen van LLMS zijn geen revolutie, maar een evolutie,” zei onderzoeker Mark Vaitzman van diepe instinct. “Er is niets nieuws daar, LLM’s maken cyberdreigingen alleen maar beter, sneller en nauwkeuriger op grotere schaal. LLMS kan met succes worden geïntegreerd in elke fase van de aanvalslevenscyclus met de begeleiding van een ervaren bestuurder. Deze vaardigheden zullen waarschijnlijk groeien in autonomie naarmate de onderliggende technologie vordert. “

Recent onderzoek heeft ook een nieuwe methode aangetoond genaamd ShadowGenes die kan worden gebruikt voor het identificeren van modelgenealogie, inclusief de architectuur, het type en het gezin door gebruik te maken van de rekengrafiek. De aanpak bouwt voort op een eerder bekendgemaakte aanvalstechniek genaamd Shadowlogic.

“De handtekeningen die worden gebruikt om kwaadaardige aanvallen binnen een computationele grafiek te detecteren, kunnen worden aangepast om terugkerende patronen te volgen en te identificeren, terugkerende subfoto’s genoemd, waardoor ze de architecturale genealogie van een model kunnen bepalen,” zei AI -beveiligingsbedrijf Hiddenlayer in een verklaring gedeeld met het Hacker News.

“Inzicht in de modelfamilies die in uw organisatie worden gebruikt, vergroot uw algehele bewustzijn van uw AI -infrastructuur, waardoor een beter beheer van beveiligingshouding mogelijk is.”

Thijs Van der Does