Uma falha de segurança de alta severidade foi revelada na estrutura do modelo de linguagem de grande escala (Large Language Model - LLM) da Meta, conhecida como Llama, que, se explorada com sucesso, poderia permitir que um atacante executasse código arbitrário no servidor de inferência do llama-stack.
A vulnerabilidade, identificada como
CVE-2024-50050
, recebeu uma pontuação CVSS de 6.3 em 10.0.
Por outro lado, a firma de segurança de cadeia de suprimentos, Snyk, classificou-a com uma gravidade crítica de 9.3.
"Versões afetadas do meta-llama são vulneráveis à deserialização de dados não confiáveis, o que significa que um atacante pode executar código arbitrário enviando dados maliciosos que são deserializados", disse o pesquisador Avi Lumelsky, da Oligo Security, em uma análise no início desta semana.
O problema, conforme a empresa de segurança na nuvem, reside em um componente chamado Llama Stack, que define um conjunto de interfaces API para o desenvolvimento de aplicações de inteligência artificial (IA), incluindo o uso dos próprios modelos Llama da Meta.
Especificamente, trata-se de uma falha de execução de código remoto na implementação da API de Inferência Python de referência, encontrada por deserializar automaticamente objetos Python usando pickle, um formato considerado arriscado devido à possibilidade de execução de código arbitrário quando dados não confiáveis ou maliciosos são carregados usando a biblioteca.
"Em cenários onde o socket ZeroMQ é exposto pela rede, os atacantes poderiam explorar essa vulnerabilidade enviando objetos maliciosos criados para o socket", disse Lumelksy.
Uma vez que recv_pyobj irá desempacotar esses objetos, um atacante pode conseguir a execução de código arbitrário (RCE) na máquina hospedeira. Após a divulgação responsável em 24 de setembro de 2024, o problema foi abordado pela Meta em 10 de outubro na versão 0.0.41.
Também foi remediado na pyzmq, uma biblioteca Python que fornece acesso à biblioteca de mensagens ZeroMQ.
Num aviso emitido pela Meta, a empresa disse que corrigiu o risco de execução de código remoto associado ao uso do pickle como um formato de serialização para comunicação de socket mudando para o formato JSON.
Não é a primeira vez que vulnerabilidades de deserialização são descobertas em frameworks de IA.
Em agosto de 2024, a Oligo detalhou uma "vulnerabilidade oculta" no framework Keras do TensorFlow, um bypass para
CVE-2024-3660
(pontuação CVSS: 9.8) que poderia resultar em execução de código arbitrário devido ao uso do módulo marshal inseguro.
O desenvolvimento ocorre enquanto o pesquisador de segurança Benjamin Flesch divulgou uma falha de alta gravidade no crawler do ChatGPT da OpenAI, que poderia ser armada para iniciar um ataque de negação de serviço distribuído (DDoS) contra sites arbitrários.
O problema é resultado do manuseio incorreto de solicitações HTTP POST para a API "chatgpt[.]com/backend-api/attributions", que é projetada para aceitar uma lista de URLs como entrada, mas não verifica se a mesma URL aparece várias vezes na lista nem impõe um limite no número de hiperlinks que podem ser passados como entrada.
Isso abre um cenário onde um ator malicioso poderia transmitir milhares de hiperlinks em uma única solicitação HTTP, causando a OpenAI enviar todas essas solicitações ao site vítima sem tentar limitar o número de conexões ou evitar emitir solicitações duplicadas.
Dependendo do número de hiperlinks transmitidos para a OpenAI, fornece um fator de amplificação significativo para ataques DDoS potenciais, sobrecarregando efetivamente os recursos do site alvo.
A empresa de IA desde então corrigiu o problema.
"O crawler do ChatGPT pode ser acionado para DDoS de um site vítima via solicitação HTTP para uma API do ChatGPT não relacionada", disse Flesch.
Este defeito no software da OpenAI gerará um ataque DDoS em um site vítima desavisado, utilizando múltiplos intervalos de IP da Microsoft Azure nos quais o crawler do ChatGPT está operando.
A divulgação também segue um relatório da Truffle Security de que assistentes de codificação alimentados por IA "recomendam" a codificação fixa de chaves de API e senhas, um conselho arriscado que poderia enganar programadores inexperientes a introduzir fraquezas de segurança em seus projetos.
"Os LLMs estão ajudando a perpetuar isso, provavelmente porque foram treinados em todas as práticas de codificação inseguras", disse o pesquisador de segurança Joe Leon.
Novidades sobre vulnerabilidades em frameworks LLM também seguem pesquisas sobre como os modelos poderiam ser abusados para potencializar o ciclo de ataque cibernético, incluindo a instalação do payload final de roubo e comando-e-controle.
"As ameaças cibernéticas apresentadas pelos LLMs não são uma revolução, mas uma evolução", disse o pesquisador da Deep Instinct, Mark Vaitzman.
Não há nada de novo lá, os LLMs estão apenas tornando as ameaças cibernéticas melhores, mais rápidas e mais precisas em larga escala.
LLMs podem ser integrados com sucesso em todas as fases do ciclo de ataque com a orientação de um motorista experiente.
Estas habilidades provavelmente crescerão em autonomia à medida que a tecnologia subjacente avança. Pesquisas recentes também demonstraram um novo método chamado ShadowGenes que pode ser usado para identificar a genealogia do modelo, incluindo sua arquitetura, tipo e família, aproveitando seu grafo computacional.
A abordagem se baseia em uma técnica de ataque previamente divulgada chamada ShadowLogic.
"As assinaturas usadas para detectar ataques maliciosos dentro de um grafo computacional poderiam ser adaptadas para rastrear e identificar padrões recorrentes, chamados subgrafos recorrentes, permitindo determinar a genealogia arquitetônica de um modelo", disse a firma de segurança AI HiddenLayer em uma declaração compartilhada.
Entender as famílias de modelos em uso dentro de sua organização aumenta sua conscientização geral sobre sua infraestrutura de IA, permitindo uma melhor gestão da postura de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...