PyTorch Modelleri ShellTorch Aracılığıyla Uzaktan Kod Yürütülmesine Karşı Savunmasız - Dünyadan Güncel Teknoloji Haberleri

PyTorch Modelleri ShellTorch Aracılığıyla Uzaktan Kod Yürütülmesine Karşı Savunmasız - Dünyadan Güncel Teknoloji Haberleri
0)
  • CVE-2023-43654 (CVSS puanı: 7,2) – Uzak sunucu tarafı istek sahteciliği (SSRF) bu da uzaktan kod yürütülmesine yol açar 13

    Sorunların ciddiyeti, Amazon Web Services’in (AWS) bir danışma Müşterileri, 11 Eylül 2023’ten önce yayımlanan EC2, EKS veya ECS’deki PyTorch çıkarım Derin Öğrenme Kapsayıcıları (DLC) 1 2Şöyleki –

    • CVE Yok – Doğrulanmamış Yönetim Arayüzü API’sinin Yanlış Yapılandırması (0 0 TorchServe aracı Etkilenen sistemlerde uzaktan kod yürütülmesini sağlamak üzere zincirlenebilecek PyTorch modellerinin sunulması ve ölçeklendirilmesi için

      Daha da kötüsü, eksikliklerin CVE-2022-1471 ile zincirlenerek kod yürütülmesine ve açığa çıkan örneklerin tamamen ele geçirilmesine yol açması olabilir 0


      03 Eki 2023THNYapay Zeka / Siber Tehdit

      Siber güvenlik araştırmacıları, siber güvenlikte çok sayıda kritik güvenlik açığını ortaya çıkardı

      “Bu güvenlik açıkları […] Dünyanın en büyük şirketlerinden bazıları da dahil olmak üzere sayısız binlerce hizmeti ve son kullanıcıyı yetkisiz erişime ve kötü amaçlı yapay zeka modellerinin eklenmesine ve potansiyel olarak tüm sunucunun ele geçirilmesine açık bırakan tam zincirli bir Uzaktan Kod Yürütmeye (RCE) yol açabilir 0 veya 2

      “Bu güvenlik açıklarını daha da tehlikeli hale getiriyoruz: Bir saldırgan, model hizmet sunucusundan yararlandığında, hedef TorchServe sunucusuna giren ve çıkan hassas verilere erişebilir ve bunları değiştirebilir, bu da uygulamanın güvenine ve güvenilirliğine zarar verebilir

    • CVE-2022-1471 (CVSS puanı: 9,9) – güvensiz sürüm Java nesnelerinin güvenli olmayan şekilde seri durumdan çıkarılmasına izin veren SnakeYAML açık kaynak kütüphanesinin

    Başarılı bir şekilde sömürülmesi yukarıda belirtilen kusurlar bir saldırganın, aktör tarafından kontrol edilen bir adresten kötü amaçlı bir model yükleme isteği göndermesine olanak tanıyarak rastgele kod yürütülmesine yol açabilir ” güvenlik araştırmacıları Idan Levcovich, Guy Kaplan ve Gal Elbaz söz konusu

    Araştırmacılar, “Yapay zeka modelleri, istenen konfigürasyonu bildirmek için bir YAML dosyası içerebiliyor; bu nedenle, kötü niyetli olarak hazırlanmış bir YAML dosyasına sahip bir model yükleyerek, makinede kod yürütülmesine neden olan güvenli olmayan bir seri durumdan çıkarma saldırısını tetikleyebildik” dedi 0

    Başka bir deyişle, yönetim sunucusuna uzaktan erişebilen bir saldırgan, herhangi bir varsayılan TorchServe sunucusunda herhangi bir kimlik doğrulama gerektirmeden kod yürütülmesine olanak tanıyan kötü amaçlı bir model de yükleyebilir 1’i, TorchServe sürüm 0 1, 2 0 8 8 2’ye güncellemeyi kullanmaya teşvik ediyoruz

    Araştırmacılar, “Bu güvenlik açıklarının sağladığı ayrıcalıkları kullanarak, AI modellerini ve hedef TorchServe sunucusuna giren ve çıkan hassas verileri görüntülemek, değiştirmek, çalmak ve silmek mümkündür” dedi

    Ele alınan kusurların listesi sürüm 0

    Keşfi gerçekleştiren İsrail merkezli çalışma zamanı uygulama güvenliği şirketi Oligo, güvenlik açıklarını ortaya çıkardı KabukMeşale ”



    siber-2