Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

Kutatók MI és gépi tanulás modell sérülékenységeket fedeztek fel

MEGOSZTÁS

Harmincnál is több sérülékenységet fedeztek fel különböző nyílt forráskódú mesterséges intelligencia (AI) és gépi tanulási (ML) modellekben, amelyek közül néhány távoli kódfuttatáshoz és információlopáshoz vezethet.

A hibákat,  a ChuanhuChatGPT, Lunary és LocalAI eszközökben tárták fel. Ezt követően jelentették őket a Protect AI Huntr bug bounty platformján. A két legsúlyosabb hiba a Lunary-t érinti, ami egy nagy nyelvi modellek (LLM-ek) menedzseléséhez készített fejlesztői eszközkészlet.

A felfedezett sérülékenységek

  • CVE-2024-7474 egy Insecure Direct Object Reference (IDOR) sérülékenység, 9,1-es CVSS értékkel. Ez lehetőséget adhat egy hitelesített felhasználónak arra, hogy hozzáférjen külső felhasználók adataihoz, vagy törölje azokat, ezzel potenciálisan adatvesztést okozhat. A probléma alapja, hogy az alkalmazás nem megfelelően korlátozza a felhasználók hozzáférését bizonyos erőforrásokhoz. Ez pedig lehetővé teszi az érzékeny adatok közvetlen elérését a jogosultság ellenőrzése nélkül.
  • CVE-2024-7475 egy nem megfelelő hozzáférés-ellenőrzési sérülékenység, szintén 9,1-es CVSS értékkel. Ez a sebezhetőség lehetőséget biztosít a támadóknak a SAML konfiguráció frissítésére, így lehetővé válik számukra, hogy jogosulatlan felhasználóként jelentkezzenek be a rendszerbe. A probléma forrása, hogy az alkalmazás nem megfelelően korlátozza a konfigurációs beállításokhoz való hozzáférést, ami lehetővé teszi a rosszindulatú hozzáférést és a jogosulatlan bejelentkezést.
  • CVE-2024-7473 egy újabb IDOR sérülékenység, amelyet szintén a Lunary platformban fedeztek fel, és amely 7,5-ös CVSS pontszámmal rendelkezik. Ez a sebezhetőség lehetőséget biztosít a támadóknak arra, hogy egy másik felhasználó promptját frissítsék egy felhasználó által kontrollált paraméter manipulálásával. A Protect AI tájékoztatása szerint egy támadó a következő módon használhatja ki ezt a hibát: bejelentkezik felhasználóként, majd elfog egy prompt frissítésére vonatkozó requestet. Egy támadó ezután módosíthatja a kérésben szereplő ‘id’ paramétert úgy, hogy a támadott felhasználóhoz tartozó promptot jelöljön meg, így lehetőséget kap annak jogosulatlan módosítására.
  • CVE-2024-5982 egy ChuanhuChatGPT-t érintő 9,1-es CVSS értékű path traversal sérülékenység. Ez a hiba lehetővé teszi egy támadó számára, hogy tetszőleges kódot futtasson, könyvtárakat hozzon létre, és érzékeny adatokhoz férjen hozzá. Méghozzá úgy, hogy a fájlrendszerben jogosulatlan navigálást tesz lehetővé.
  • További sérülékenységek vannak a LocalAI projektben, ami önállóan hosztolt LLM-ek futtatására hivatott. A CVE-2024-6983 kódon nyomon követhető sérülékenység 8,8-as CVSS pontszámmal rendelkezik, tetszőleges kódfuttatást tesz lehetővé egy rosszindulatú konfigurációs fájl feltöltésével. A második, CVE-2024-7010 kódú sebezhetőség (CVSS 7,5) pedig érvényes API kulcsok felfedezésére használható a szerver válaszidejének elemzésével.
  • CVE-2024-8396 a Deep Java Library RCE sérülékenysége, 7,8-as CVSS értékkel. Ez a hiba a Library ’untar’ függvényének hibájából fakad, amely lehetővé teszi egy támadó számára, hogy tetszőleges fájlokat írjon felül.

A felhasználóknak ajánlott az érintett programok legújabb verziókra való frissítése. Ugyanis ezzel növelik az AI/ML ellátási láncuk biztonságát, csökkentve a potenciális támadások lehetőségét.

 

(Forrás: NKI | Kép: pixabay.com)

IT EXPERTS-TECH LEADERS 2024 FELHŐ A JAVÁBÓL KONFERENCIA

ICT Global News

VIDEOGALÉRIA
FOTÓGALÉRIA

Legnépszerűbb cikkek

ICT Global News

Iratkozz fel a hírlevelünkre, hogy ne maradj le az IT legfontosabb híreiről!