Falha RCE crítica na IA Ollama
25 de Junho de 2024

Pesquisadores de cibersegurança detalharam uma falha de segurança, agora corrigida, que afetava a plataforma de infraestrutura de inteligência artificial (IA) de código aberto Ollama, a qual poderia ser explorada para realizar execução remota de código (remote code execution).

Identificada como CVE-2024-37032 , a vulnerabilidade foi apelidada de Probllama pela firma de segurança em nuvem Wiz.

Após a divulgação responsável em 5 de maio de 2024, a questão foi resolvida na versão 0.1.34, lançada em 7 de maio de 2024.

Ollama é um serviço para empacotamento, deploy e execução de grandes modelos de linguagem (LLMs) localmente em dispositivos Windows, Linux e macOS.

No cerne, o problema está relacionado a um caso de validação de entrada insuficiente que resulta em uma falha de path traversal que um atacante poderia explorar para sobrescrever arquivos arbitrários no servidor e, finalmente, levar à execução remota de código.

A falha requer que o agente de ameaça envie requisições HTTP especialmente criadas para o servidor API do Ollama para uma exploração bem-sucedida.

Especificamente, aproveita-se do endpoint da API "/api/pull" – que é usado para baixar um modelo do registro oficial ou de um repositório privado – para fornecer um arquivo de manifesto de modelo malicioso que contém um payload de path traversal no campo digest.

Esse problema poderia ser abusado não apenas para corromper arquivos arbitrários no sistema, mas também para obter execução de código remotamente sobrescrevendo um arquivo de configuração ("etc/ld.so.preload") associado ao link dinâmico ("ld.so") para incluir uma biblioteca compartilhada maliciosa e lançá-la toda vez antes de executar qualquer programa.

Enquanto o risco de execução remota de código é bastante reduzido em instalações Linux padrão devido ao fato de que o servidor API se vincula ao localhost, não é o caso com implantações em docker, onde o servidor API é exposto publicamente.

"Este problema é extremamente grave em instalações Docker, já que o servidor é executado com privilégios de `root` e ouve em `0.0.0.0` por padrão – o que possibilita a exploração remota dessa vulnerabilidade", disse o pesquisador de segurança Sagi Tzadik.

Tornando a situação ainda mais grave é a falta inerente de autenticação associada ao Ollama, permitindo assim que um atacante explore um servidor acessível publicamente para roubar ou adulterar modelos de IA e comprometer servidores de inferência de IA auto-hospedados.

Isso também requer que tais serviços sejam protegidos usando middleware como proxies reversos com autenticação.

Wiz disse que identificou mais de 1.000 instâncias expostas do Ollama hospedando numerosos modelos de IA sem qualquer proteção.

" CVE-2024-37032 é uma execução de código remoto fácil de explorar que afeta a moderna infraestrutura de IA," disse Tzadik.

Apesar de o código-base ser relativamente novo e escrito em linguagens de programação modernas, vulnerabilidades clássicas como path traversal permanecem como um problema.

Esse desenvolvimento ocorre enquanto a empresa de segurança AI Protect AI alertou sobre mais de 60 defeitos de segurança afetando várias ferramentas de AI/ML de código aberto, incluindo questões críticas que podem levar à divulgação de informações, acesso a recursos restritos, escalada de privilégios e aquisição completa do sistema.

A mais grave dessas vulnerabilidades é a CVE-2024-22476 (pontuação CVSS 10.0), uma falha de injeção SQL no software Intel Neural Compressor que poderia permitir aos atacantes baixar arquivos arbitrários do sistema hospedeiro.

Foi resolvida na versão 2.5.0.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...