Kritik Yapay Zeka Güvenlik Kusurları Saldırganlar Tespiti Atlayıp RC’yi Yürütüyor


Kritik Yapay Zeka Güvenlik Kusurları

Yapay Zeka (AI), birçok sektördeki birçok ilerlemeyle birlikte bu on yılın en hızlı gelişen teknolojilerinden biri haline geldi.

Bazı durumlarda, tehdit aktörleri daha sonra diğer saldırı vektörlerinde kullanılacak hassas bilgileri almak için yapay zeka sistemlerinden yararlandı.

Ancak bu kadar gelişen bir teknolojinin, geliştirme veya çalıştırma sırasında ortaya çıkan güvenlik açıklarına karşı dikkatli olması gerekir.

Özel geliştirilmiş ve açık kaynaklı araçlar kullanılarak çeşitli güvenlik açıklarını tespit eden Yapay zekayı korumak için bir hata ödül programı oluşturuldu.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.


Kritik Yapay Zeka Güvenlik Kusurları

Cyber ​​Security News ile paylaşılan raporlara göre bu ay 9’dan fazla güvenlik açığı tespit edildi. Bunlardan en önemlileri Doğrulama Atlaması, Kötü Amaçlı Kaynak URL’si aracılığıyla Rastgele Dosya Üzerine Yazma ve Yerel dosya eklemedir.

Bu güvenlik açıklarına yönelik CVE’ler CVE-2024-0520 (10.0 – Kritik), CVE-2023-6976 (8.8 – Yüksek) ve CVE-2023-6977 (10.0 – Kritik).

CVE-2024-0520: MLflow Rasgele Dosya Üzerine Yazma

Bu güvenlik açığı, bir saldırganın uzak veri depolamayı kapatmak için kullanılan kod nedeniyle rastgele bir dosyanın üzerine yazabileceği modelleri depolamak ve izlemek için kullanılan bir araç olan MLflow’ta mevcuttur. Kullanıcılar, alternatif olarak kullanıcının bağlamında komutları yürütecek kötü amaçlı bir uzak veri kaynağı kullanmaya yönlendirilebilir.

CVE-2023-6976 – MLflow Rastgele Dosya Üzerine Yazma

Dosya yolu güvenliğini doğrulayan MLflow işlevlerinden birinde, bir tehdit aktörünün MLflow sunucusundaki dosyaların üzerine uzaktan yazmasına ve bunun sonucunda uzaktan kod yürütülmesine olanak tanıyan bir atlama güvenlik açığı bulunuyordu. Bir tehdit aktörü ayrıca sistemdeki SSH anahtarlarının üzerine yazabilir veya bir sonraki kullanıcı oturum açtığında sistemde rasgele komutlar yürütmek için .bashrc dosyasını düzenleyebilir.

CVE-2023-6977 – MLflow Yerel Dosya İçeriği

Belirli işletim sistemi türlerinde, barındırılan MLflow, dosya yolu güvenlik atlaması nedeniyle hassas dosya içeriklerini görüntüleyecek şekilde manipüle edilebilir; bu durum, SSH anahtarlarının veya bulut anahtarlarının sunucuda MLflow okuma izinleriyle saklanması durumunda potansiyel olarak sistemin ele geçirilmesine de yol açabilir. .

Bu güvenlik açıkları, potansiyel istismar, etkiler ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.



Source link