Uma série de vulnerabilidades críticas que afetam uma ferramenta chamada TorchServe pode permitir que os agentes de ameaças assumam o controle total dos servidores que fazem parte do inteligência artificial (IA) infraestrutura de algumas das maiores empresas do mundo.
As falhas foram descobertas pela Oligo, empresa especializada em segurança e observabilidade de aplicativos em tempo de execução, que divulgou suas descobertas na terça-feira. A empresa nomeou o ataque ShellTocha.
TorchServe é um pacote de código aberto em PyTorch, uma estrutura de aprendizado de máquina usada para aplicações como visão computacional e processamento de linguagem natural. PyTorch atualmente faz parte da Linux Foundation e recebeu contribuições significativas da Meta (seu desenvolvedor original) e da AWS.
O TorchServe é usado por organizações em todo o mundo e tem mais de 30.000 downloads de PyPi todos os meses e mais de um milhão de pulls de DockerHub. É usado por grandes empresas como Amazon, Google, Intel, Microsoft, Tesla e Walmart.
Os pesquisadores da Oligo descobriram que o TorchServe é afetado por três vulnerabilidades, incluindo duas que receberam uma classificação de ‘gravidade crítica’. Apenas um identificador CVE foi atribuído: CVE-2023-43654.
Um dos problemas é, na verdade, uma configuração incorreta padrão que resulta na exposição da interface de gerenciamento do TorchServe ao acesso remoto sem autenticação.
As outras duas vulnerabilidades podem ser exploradas para execução remota de código, através de falsificação de solicitação do lado do servidor (SSRF) e através de desserialização insegura.
Utilizando um simples scanner IP, a empresa de segurança cibernética identificou dezenas de milhares de instâncias que poderiam ser vulneráveis a ataques, incluindo muitas pertencentes a empresas Fortune 500.
“Essas vulnerabilidades podem comprometer completamente a infraestrutura de IA das maiores empresas do mundo”, alertou Oligo.
A empresa de segurança explicou que um invasor pode explorar as vulnerabilidades para obter acesso inicial e executar código malicioso no servidor PyTorch da organização visada e, em seguida, mover-se lateralmente dentro da rede para sistemas ainda mais sensíveis.
“Mas o movimento lateral pode nem ser necessário: usando o ShellTorch, os invasores já estão no núcleo da infraestrutura de IA, permitindo-lhes obter e aproveitar os altos privilégios do TorchServe para visualizar, modificar, roubar e excluir modelos de IA, que muitas vezes contêm o IP principal de uma empresa”, disse Oligo.
“Tornando essas vulnerabilidades ainda mais perigosas: quando um invasor explora o servidor de serviço do modelo, ele pode acessar e alterar dados confidenciais que entram e saem do servidor TorchServe alvo, prejudicando a confiança e a credibilidade do aplicativo”, acrescentou.
A AWS publicou um comunicado informando aos clientes que as versões 0.3.0 a 0.8.1 foram afetadas e a 0.8.2 corrige algumas das falhas. Oligo disse que a Meta tomou medidas para resolver a configuração incorreta padrão que expôs os servidores.