TorchServe olarak bilinen bir makine öğrenimi çerçevesinde yeni keşfedilen bir dizi kritik güvenlik açığı, siber saldırganların bir dizi kötü sonuç için yapay zeka (AI) modellerini tamamen alt üst etmelerine olanak sağlayabilir. Araştırmacılar, hataların, AI uygulamalarının açık kaynak hatalarına karşı diğer uygulamalar kadar eşit derecede duyarlı olduğunu gösterdiğini belirtti. Hatalar Amazon ve Google’ın makine öğrenimi hizmetlerini ve diğerlerini etkiliyor.
TorchServe, Amazon ve Meta tarafından sağlanan ve PyTorch açık kaynaklı makine öğrenimi kitaplığını temel alan derin öğrenme modellerini üretim ortamlarına dağıtmak için kullanılan açık kaynaklı bir çerçevedir. Birçok büyük şirket tarafından kullanılmaktadır; TorchServe’ün ticari kullanıcıları arasında Walmart, Amazon, Microsoft Azure, Google Cloud ve diğerleri bulunmaktadır.
Güvenlik açıklarının başarıyla kullanılması, tehdit aktörlerinin yapay zeka modellerindeki özel verilere erişmesine, üretim ortamlarına kötü amaçlı modeller yerleştirmesine, makine öğrenimi modelinin sonuçlarını değiştirmesine ve sunucular üzerinde tam kontrol sahibi olmasına olanak tanıyabilir.
Binlerce Hedef: Hatalar Geniş Açıdan Görünüyor
Oligo’daki güvenlik açıklarını keşfeden araştırmacılara göre, yazılımın binlerce savunmasız örneği internette kamuya açık durumda ve yetkisiz erişime ve bir dizi başka kötü amaçlı eyleme açık durumda.
Oligo araştırmacıları Idan Levcovich, Guy Kaplan ve Gal Elbaz bu hafta bir blog yazısında “TorchServe, PyTorch için en popüler model hizmet çerçeveleri arasında yer alıyor” diye yazdı. “Basit bir IP tarayıcı kullanarak, şu anda tamamen saldırıya maruz kalan on binlerce IP adresini bulmayı başardık; bunların çoğu Fortune 500 kuruluşlarına ait.”
TorchServe’in 0.8.1 ve önceki tüm sürümleri güvenlik açığına sahiptir. Oligo, TorchServe sürüm 0.8.2’deki kusurları gideren güvenlik açıklarını PyTorch’a bildirdi. Oligo’nun kurucu ortağı ve CTO’su Elbaz, “3 Ekim’deki güncelleme, maruz kalmayı önemli ölçüde azalttı ve bu nedenle tüm kullanıcıların en son sürüme yükseltme yapmasını öneriyoruz” diyor.
ShellTorch Kusurları
Oligo bu güvenlik açıklarını topluca “ShellTorch” olarak adlandırdı. Bunlardan ikisi, CVSS ölçeğinde maksimuma yakın önem derecesi ile kritik olarak derecelendirilmiştir: CVE-2023-43654, uzaktan kod yürütülmesine (RCE) olanak tanıyan bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı; ve bir Java seri durumdan çıkarma RCE’si olan CVE-2022-1471.
Üçüncü ShellTorch güvenlik açığı, TorchServe’ün varsayılan olarak kritik bir yönetim API’sini İnternet’e nasıl sunduğundan kaynaklanmaktadır. Yapılandırmayı varsayılandan değiştirmek sorunu hafifletse de TorchServe’i temel alan birçok kuruluş ve proje varsayılan yapılandırmayı kullanmıştır.
Oligo’ya göre “Sonuç olarak, güvenlik açığı Amazon’un ve Google’ın tescilli Docker görüntülerinde de varsayılan olarak mevcut ve en büyük makine öğrenimi hizmetleri sağlayıcılarının kendi kendini yöneten hizmetlerinde de mevcut.” “Bu, kendi kendini yöneten Amazon AWS SageMaker’ı, kendi kendini yöneten Google Vertex AT’yi ve TorchServe üzerinde oluşturulan diğer birkaç projeyi içeriyor. Yanlış yapılandırma özellikle sorunlu çünkü yönetim arayüzüne erişim hiçbir kimlik doğrulama gerektirmiyor, dolayısıyla bu arayüze herkes erişebilir.”
Elbaz, “Yönetim arayüzünü doğru şekilde yapılandırmak ana saldırı vektörünü kapatıyor, ancak ShellTorch’tan ek vektörler aracılığıyla yararlanılabilir” diyor.
Sunucu Tarafı İstek Sahteciliği Kusuru
Bu vektörlerden biri, şirketin keşfettiği SSRF kusuru olan CVE-2023-43564 ile ilgilidir. Kusur, bir makine öğrenimi modelinin yapılandırma dosyalarını getirmek için kullanılan TorchServe API’sine bağlıdır. Oligo, API’nin yalnızca izin verilen bir URL listesinden yapılandırma dosyalarını almaya yönelik mantık içermesine rağmen, varsayılan olarak tüm alan adlarını geçerli URL’ler olarak kabul ettiğini buldu. Bir saldırgan, bu kusuru kullanarak üretim ortamına kötü amaçlı bir model yükleyebilir ve bu da rastgele kod yürütülmesine neden olabilir. Oligo, varsayılan yapılandırma hatasıyla birleştirildiğinde, CVE-2023-43564’ün kimliği doğrulanmamış bir saldırganın PyTorch ortamlarında rastgele kod yürütmesine izin verdiğini buldu.
CVE-2022-1471, TorchServe’in uyguladığı, yaygın olarak kullanılan bir açık kaynak kitaplığı olan SnakeYaml’daki RCE güvenlik açığıdır. Oligo araştırmacıları, kötü amaçlı bir YAML dosyası içeren bir ML modeli yükleyerek, temeldeki sunucuda RCE ile sonuçlanan bir saldırıyı tetikleyebileceklerini buldu.
Elbaz, güvenlik açıklarının, tüm uygulamaların açık kaynak koddan maruz kaldığı risklerle aynı risklere yapay zeka uygulamalarının da maruz kaldığını gösterdiğini söylüyor. Ancak yapay zeka söz konusu olduğunda, büyük dil modelleri ve diğer yapay zeka teknolojilerinin sayısız kullanım durumu göz önüne alındığında sonuçlar daha da büyük oluyor. ShellTorch gibi güvenlik açıkları, saldırganlara yanıltıcı yanıtlar üretmek ve başka hasarlar yaratmak için yapay zeka modellerini bozmanın bir yolunu sunuyor.
Elbaz, “Yapay zeka teknoloji için ileriye doğru dev bir adımdır ve bu avantajlarla birlikte yeni riskler de gelir; büyük risklerle birlikte büyük bir potansiyel” diyor. “Daha önce hiç görmediğimiz yeni risk türleri var, bu nedenle yapay zeka altyapısını korumak için gelişmeye hazır olmamız gerekiyor.”