Các nhà nghiên cứu an ninh mạng đã trình bày chi tiết một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến nền tảng cơ sở hạ tầng trí tuệ nhân tạo (AI) nguồn mở Ollama có thể bị khai thác để thực thi mã từ xa.
Được theo dõi là CVE-2024-37032, lỗ hổng đã được công ty bảo mật đám mây Wiz đặt tên mã là Probllama. Sau khi tiết lộ có trách nhiệm vào ngày 5 tháng 5 năm 2024, vấn đề đã được giải quyết trong phiên bản 0.1.34 được phát hành vào ngày 7 tháng 5 năm 2024.
Ollama là một dịch vụ để đóng gói, triển khai, chạy các mô hình ngôn ngữ lớn (LLM) cục bộ trên các thiết bị Windows, Linux và macOS.
Về cốt lõi, vấn đề liên quan đến trường hợp không đủ xác thực đầu vào dẫn đến lỗ hổng đường dẫn mà kẻ tấn công có thể khai thác để ghi đè lên các tệp tùy ý trên máy chủ và cuối cùng dẫn đến thực thi mã từ xa.
Thiếu sót đòi hỏi tác nhân đe dọa phải gửi các yêu cầu HTTP được chế tạo đặc biệt đến máy chủ API Ollama để khai thác thành công.
Nó đặc biệt tận dụng điểm cuối API "/ api / pull" - được sử dụng để tải xuống mô hình từ sổ đăng ký chính thức hoặc từ kho lưu trữ riêng - để cung cấp tệp kê khai mô hình độc hại có chứa tải trọng truyền qua đường dẫn trong trường tiêu hóa.
Vấn đề này có thể bị lạm dụng không chỉ để làm hỏng các tệp tùy ý trên hệ thống mà còn để thực thi mã từ xa bằng cách ghi đè lên tệp cấu hình ("etc / ld.so.preload") được liên kết với trình liên kết động ("ld.so") để bao gồm một thư viện chia sẻ giả mạo và khởi chạy nó mỗi lần trước khi thực thi bất kỳ chương trình nào.
Mặc dù rủi ro thực thi mã từ xa được giảm đến mức lớn trong các cài đặt Linux mặc định do thực tế là máy chủ API liên kết với localhost, nhưng đó không phải là trường hợp triển khai docker, nơi máy chủ API được hiển thị công khai.
Vấn đề phức tạp hơn nữa là sự thiếu xác thực vốn có liên quan đến Ollama, do đó cho phép kẻ tấn công khai thác một máy chủ có thể truy cập công khai để đánh cắp hoặc giả mạo các mô hình AI và thỏa hiệp các máy chủ suy luận AI tự lưu trữ.
Điều này cũng yêu cầu các dịch vụ như vậy được bảo mật bằng phần mềm trung gian như proxy ngược với xác thực. Wiz cho biết họ đã xác định được hơn 1.000 trường hợp tiếp xúc với Ollama lưu trữ nhiều mô hình AI mà không có bất kỳ sự bảo vệ nào.
Sự phát triển này diễn ra khi công ty bảo mật AI Protect AI cảnh báo về hơn 60 lỗi bảo mật ảnh hưởng đến các công cụ AI / ML nguồn mở khác nhau, bao gồm các vấn đề quan trọng có thể dẫn đến tiết lộ thông tin, truy cập vào các tài nguyên bị hạn chế, leo thang đặc quyền và tiếp quản hệ thống hoàn toàn.
Nghiêm trọng nhất trong số các lỗ hổng này là CVE-2024-22476 (điểm CVSS 10.0), một lỗ hổng SQL injection trong phần mềm Intel Neural Compressor có thể cho phép kẻ tấn công tải xuống các tệp tùy ý từ hệ thống máy chủ. Nó đã được giải quyết trong phiên bản 2.5.0.