Onderzoekers ontdekken tekortkomingen in populaire open-source machine learning-frameworks

Cybersecurity-onderzoekers hebben meerdere beveiligingsfouten onthuld die van invloed zijn op open-source machine learning (ML)-tools en -frameworks zoals MLflow, H2O, PyTorch en MLeap, die de weg kunnen vrijmaken voor code-uitvoering.

De kwetsbaarheden, ontdekt door JFrog, maken deel uit van een bredere verzameling van 22 beveiligingstekortkomingen die het supply chain-beveiligingsbedrijf vorige maand voor het eerst openbaarde.

In tegenstelling tot de eerste set die gebreken aan de serverzijde met zich meebracht, maken de nieuwe gedetailleerde versies de exploitatie van ML-clients mogelijk en bevinden ze zich in bibliotheken die veilige modelformaten zoals Safetensors verwerken.

“Het kapen van een ML-client in een organisatie kan de aanvallers in staat stellen uitgebreide zijwaartse bewegingen binnen de organisatie uit te voeren”, aldus het bedrijf. “Een ML-client heeft zeer waarschijnlijk toegang tot belangrijke ML-services zoals ML Model Registry’s of MLOps Pipelines.”

Dit zou op zijn beurt gevoelige informatie kunnen blootleggen, zoals inloggegevens voor modelregistraties, waardoor een kwaadwillende actor feitelijk opgeslagen ML-modellen kan backdooren of code kan uitvoeren.

De lijst met kwetsbaarheden vindt u hieronder:

  • CVE-2024-27132 (CVSS-score: 7,2) – Een onvoldoende opschoningsprobleem in MLflow dat leidt tot een cross-site scripting (XSS)-aanval bij het uitvoeren van een niet-vertrouwd recept in een Jupyter Notebook, wat uiteindelijk resulteert in het uitvoeren van externe code aan de clientzijde (RCE)
  • CVE-2024-6960 (CVSS-score: 7,5) – Een onveilig deserialisatieprobleem in H20 bij het importeren van een niet-vertrouwd ML-model, mogelijk resulterend in RCE
  • Een probleem met het doorlopen van paden in de TorchScript-functie van PyTorch dat kan resulteren in Denial-of-Service (DoS) of code-uitvoering als gevolg van willekeurige bestandsoverschrijving, die vervolgens kan worden gebruikt om kritieke systeembestanden of een legitiem pickle-bestand te overschrijven (geen CVE-identificatie)
  • CVE-2023-5245 (CVSS-score: 7,5) – Een probleem met het doorlopen van paden in MLeap bij het laden van een opgeslagen model in gezipt formaat kan leiden tot een Zip Slip-kwetsbaarheid, wat resulteert in het willekeurig overschrijven van bestanden en mogelijke code-uitvoering

JFrog merkte op dat ML-modellen niet blindelings moeten worden geladen, zelfs niet in gevallen waarin ze worden geladen vanuit een veilig type, zoals Safetensors, omdat ze de mogelijkheid hebben om willekeurige code-uitvoering te bewerkstelligen.

“AI en Machine Learning (ML) tools hebben een enorm potentieel voor innovatie, maar kunnen ook de deur openen voor aanvallers om wijdverspreide schade aan te richten aan elke organisatie”, zegt Shachar Menashe, VP Security Research van JFrog, in een verklaring.

“Om u tegen deze bedreigingen te beschermen, is het belangrijk om te weten welke modellen u gebruikt en nooit onbetrouwbare ML-modellen te laden, zelfs niet vanuit een ‘veilige’ ML-repository. Dit kan in sommige scenario’s leiden tot uitvoering van code op afstand, wat grote schade aan uw organisatie kan toebrengen. .”

Thijs Van der Does