PyTorch Modelleri ShellTorch Aracılığıyla Uzaktan Kod Yürütülmesine Karşı Savunmasız - Dünyadan Güncel Teknoloji Haberleri

PyTorch Modelleri ShellTorch Aracılığıyla Uzaktan Kod Yürütülmesine Karşı Savunmasız - Dünyadan Güncel Teknoloji Haberleri

Araştırmacılar, “Yapay zeka modelleri, istenen konfigürasyonu bildirmek için bir YAML dosyası içerebiliyor; bu nedenle, kötü niyetli olarak hazırlanmış bir YAML dosyasına sahip bir model yükleyerek, makinede kod yürütülmesine neden olan güvenli olmayan bir seri durumdan çıkarma saldırısını tetikleyebildik” dedi 0)

  • CVE-2023-43654 (CVSS puanı: 7,2) – Uzak sunucu tarafı istek sahteciliği (SSRF) bu da uzaktan kod yürütülmesine yol açar

    Keşfi gerçekleştiren İsrail merkezli çalışma zamanı uygulama güvenliği şirketi Oligo, güvenlik açıklarını ortaya çıkardı KabukMeşale 0 veya 2 ”



    siber-2

    “Bu güvenlik açıklarını daha da tehlikeli hale getiriyoruz: Bir saldırgan, model hizmet sunucusundan yararlandığında, hedef TorchServe sunucusuna giren ve çıkan hassas verilere erişebilir ve bunları değiştirebilir, bu da uygulamanın güvenine ve güvenilirliğine zarar verebilir 8 0 TorchServe aracı Etkilenen sistemlerde uzaktan kod yürütülmesini sağlamak üzere zincirlenebilecek PyTorch modellerinin sunulması ve ölçeklendirilmesi için

    Daha da kötüsü, eksikliklerin CVE-2022-1471 ile zincirlenerek kod yürütülmesine ve açığa çıkan örneklerin tamamen ele geçirilmesine yol açması olabilir 0 0

  • CVE-2022-1471 (CVSS puanı: 9,9) – güvensiz sürüm Java nesnelerinin güvenli olmayan şekilde seri durumdan çıkarılmasına izin veren SnakeYAML açık kaynak kütüphanesinin
  • Başarılı bir şekilde sömürülmesi yukarıda belirtilen kusurlar bir saldırganın, aktör tarafından kontrol edilen bir adresten kötü amaçlı bir model yükleme isteği göndermesine olanak tanıyarak rastgele kod yürütülmesine yol açabilir 1’i, TorchServe sürüm 0 0

    Başka bir deyişle, yönetim sunucusuna uzaktan erişebilen bir saldırgan, herhangi bir varsayılan TorchServe sunucusunda herhangi bir kimlik doğrulama gerektirmeden kod yürütülmesine olanak tanıyan kötü amaçlı bir model de yükleyebilir


    03 Eki 2023THNYapay Zeka / Siber Tehdit

    Siber güvenlik araştırmacıları, siber güvenlikte çok sayıda kritik güvenlik açığını ortaya çıkardı 2Şöyleki –

    • CVE Yok – Doğrulanmamış Yönetim Arayüzü API’sinin Yanlış Yapılandırması (0 8

      Sorunların ciddiyeti, Amazon Web Services’in (AWS) bir danışma Müşterileri, 11 Eylül 2023’ten önce yayımlanan EC2, EKS veya ECS’deki PyTorch çıkarım Derin Öğrenme Kapsayıcıları (DLC) 1 13

      Ele alınan kusurların listesi sürüm 0 2’ye güncellemeyi kullanmaya teşvik ediyoruz

      Araştırmacılar, “Bu güvenlik açıklarının sağladığı ayrıcalıkları kullanarak, AI modellerini ve hedef TorchServe sunucusuna giren ve çıkan hassas verileri görüntülemek, değiştirmek, çalmak ve silmek mümkündür” dedi ” güvenlik araştırmacıları Idan Levcovich, Guy Kaplan ve Gal Elbaz söz konusu 1, 2

      “Bu güvenlik açıkları […] Dünyanın en büyük şirketlerinden bazıları da dahil olmak üzere sayısız binlerce hizmeti ve son kullanıcıyı yetkisiz erişime ve kötü amaçlı yapay zeka modellerinin eklenmesine ve potansiyel olarak tüm sunucunun ele geçirilmesine açık bırakan tam zincirli bir Uzaktan Kod Yürütmeye (RCE) yol açabilir