.
Um trio de problemas de segurança agora corrigidos no TorchServe, uma ferramenta de código aberto para dimensionar modelos de aprendizado de máquina PyTorch em produção, pode levar ao controle do servidor e à execução remota de código (RCE), de acordo com pesquisadores de segurança.
Os três CVEs, chamados coletivamente de ShellTorch, tornaram vulneráveis ”dezenas de milhares de instâncias expostas”, escreveram a fatura de software de Idan Levcovich, Guy Kaplan e Gal Elbaz, da empresa de gerenciamento de materiais Oligo Security, em um comunicado. relatório publicado na terça-feira.
A Meta, que junto com a Amazon gerencia o projeto de código aberto TorchServe, minimizou as falhas e disse que elas foram corrigidas.
“Os problemas no TorchServe – uma ferramenta opcional para PyTorch – foram corrigidos em agosto, tornando discutível a cadeia de exploração descrita nesta postagem do blog”, disse um porta-voz do Meta. Strong The One. “Encorajamos os desenvolvedores a usar a versão mais recente do TorchServe.”
O porta-voz da Meta apontou aos usuários um Atualização de 28 de agosto para o TorchServe versão 0.8.2, que corrigiu uma falha de falsificação de solicitação do lado do servidor (SSFR) e uma versão insegura do SnakeYAML, além de dois outros avisos de segurança um mês depois (aqui e aqui), bem como em 2 de outubro atualizar para SECURITY.md do projeto GitHub que mostra que v 0.8.2 é a única versão suportada.
Amazon emitiu seu próprio boletim de segurança na segunda-feira, que também disse que a versão 0.8.2 do TorchServe, lançada em 28 de agosto, aborda os problemas de segurança.
“A AWS recomenda que os clientes usem Deep Learning Containers (DLC) de inferência PyTorch 1.13.1, 2.0.0 ou 2.0.1 em EC2, EKS ou ECS lançados antes de 11 de setembro de 2023, atualização para TorchServe versão 0.8.2“, dizia o boletim de segurança. “Os clientes que usam Deep Learning Containers (DLC) de inferência PyTorch por meio do Amazon SageMaker não são afetados.”
AWS não respondeu a Strong The Oneperguntas adicionais sobre as falhas e a pesquisa Oligo.
Embora nenhuma das três empresas tenha visto qualquer indicação de que o ShellTorch foi explorado, disse o cofundador e CEO da Oligo, Nadav Czerninski. Strong The One que a cadeia de ataque não requer conhecimentos técnicos.
“As vulnerabilidades podem ser facilmente exploradas usando conhecimentos básicos do TorchServe e sua configuração”, disse Czerninski.
CVEs ShellTorch
Especificamente, o trio de vulnerabilidades inclui o que Oligo descreve como uma “configuração incorreta da API da interface de gerenciamento não autenticada”.
A inicialização de segurança do aplicativo diz que o primeiro problema se deve ao fato de a interface estar vinculada ao endereço IP 0.0.0.0 por padrão, em vez de localhost, e essa configuração padrão a torna acessível a solicitações externas.
“Esta porta para os invasores não é apenas aberta: é deixada sem vigilância, permitindo a entrada de todos, pois a interface de gerenciamento carece de autenticação, garantindo acesso irrestrito a qualquer usuário”, escreveram os pesquisadores.
A segunda falha, CVE-2023-43654, é um bug de falsificação de solicitação remota do servidor que pode levar à execução de código. Ele obteve uma pontuação CVSS de 7.2 (de Snyk)ou 9.8 (banco de dados nacional de vulnerabilidades) ou 10.0 (GitHub).
Qualquer que seja a classificação que o bug mereça, ela existe graças a erros na API do TorchServe que, em vez de conter lógica para uma lista de domínios permitidos, aceita todos domínios como URLs válidos.
“Isso significa que um invasor pode fazer upload de um modelo malicioso que será executado pelo servidor, o que resulta na execução arbitrária de código”, escreveram os pesquisadores da Oligo.
Além de ser usado sozinho, este CVE pode ser usado para acionar um terceiro bug: CVE-2022-1471. Esta é uma vulnerabilidade de desserialização do SnakeYAML – as versões 0.3.0 a 0.8.1 do TorchServe usam uma versão insegura da biblioteca de código aberto SnakeYAML v1.31, que permite a desserialização de objetos Java.
O Google avaliou essa falha com 8,3, enquanto os analistas da NDV disseram que ela obteve uma pontuação CVSS de 9,8. Um invasor pode explorar o CVE-2022-1471 carregando um modelo com um arquivo YAML malicioso para desencadear um ataque de desserialização inseguro que leva ao RCE.
“Essa combinação de vulnerabilidades nos permite executar remotamente código com altos privilégios sem qualquer autenticação”, disseram Levcovich, Kaplan e Elbaz.
Além de atualizar para o TorchServe 0.8.2, a equipe Oligo sugere alterar as configurações padrão do console de gerenciamento para que os malfeitores não possam acessá-lo remotamente.
Eles também recomendam atualizar os Allow_urls no arquivo config.properties para garantir que seu servidor busque apenas modelos de domínios confiáveis, como torchserve.pytorch.org — ou o que for aplicável à sua organização.
E finalmente, a equipe de segurança também divulgou um ferramenta gratuita para verificar se sua organização é vulnerável ao ShellTorch. ®
.
