ShellTorch: ошибки в TorchServe угрожают мировым IT-гигантам

TorchServe Oligo ShellTorch Meta
ShellTorch: ошибки в TorchServe угрожают мировым IT-гигантам
TorchServe Oligo ShellTorch Meta

Международные корпорации могут потерять контроль над данными.

image

Исследовательская группа Oligo Security обнаружила комплекс критических уязвимостей в open source инструменте для работы с ИИ-моделями TorchServe, который используется десятками тысяч серверов в интернете, включая сервера крупных организаций. Уязвимости получили общее название ShellTorch.

TorchServe, поддерживаемый Meta* и Amazon, является популярным инструментом для развертывания и масштабирования моделей PyTorch в промышленной среде. Среди пользователей сервиса – ученые, занимающиеся исследованиями в области искусственного интеллекта, а также крупные компании, включая Amazon, OpenAI, Tesla, Azure, Google и Intel.

Уязвимости ShellTorch предоставляют возможность несанкционированного доступа к серверам и удаленному выполнению кода на уязвимых системах. Проблемы затрагивают версии TorchServe с 0.3.0 по 0.8.1.

  • Первая уязвимость связана с неправильной конфигурацией API управления, что приводит к тому, что веб-панель по умолчанию привязывается к IP-адресу 0.0.0.0, а не к localhost, что делает ее доступной для внешних запросов. Из-за отсутствия аутентификации любой пользователь может загрузить злонамеренные модели с внешнего адреса.
  • Вторая проблема, отслеживаемая как CVE-2023-43654 (CVSS: 9.8), это ошибка подделки запроса на стороне сервера (Server-Side Request Forgery, SSRF), которая в случае эксплуатации в составе цепочки уязвимостей может привести к удаленному выполнению кода (Remote Code Execution, RCE).
  • Третья уязвимость, отслеживаемая как CVE-2022-1471 (CVSS: 9.8), связана с проблемой десериализации Java, которая также может привести к удаленному выполнению кода из-за небезопасной десериализации в библиотеке SnakeYAML.

Аналитики Oligo обнаружили десятки тысяч IP-адресов, подверженных атакам ShellTorch, некоторые из них принадлежат крупным международным организациям.

Для устранения уязвимостей пользователям рекомендуется обновиться до версии TorchServe 0.8.2, выпущенной 28 августа 2023 года. Кроме того, пользователи должны правильно настроить консоль управления, задав адрес управления как http://127.0.0.1:8081 в файле config.properties, чтобы TorchServe привязывался к localhost, а не ко всем настроенным на сервере IP-адресам. Также следует убедиться, что сервер получает модели только из доверенных доменов. Для этого нужно обновить allowed_urls в файле config.properties соответственно.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.