Nvidia’nın Triton Exerence sergi sunucusunda, kimlik doğrulanmamış saldırganların tam uzaktan kumanda yürütme (RCE) elde etmesine ve AI sunucuları üzerinde tam kontrol kazanmasına izin veren kritik bir güvenlik açığı zinciri.
CVE-2025-23319, CVE-2025-23320 ve CVE-2025-23334 olarak tanımlanan güvenlik açığı zinciri, paylaşılan bellek manipülasyonunu içeren sofistike üç aşamalı bir saldırı sürecinden sunucunun python arka ucundan yararlanır.
Key Takeaways
1. CVE-2025-23319 chain allows attackers to take over NVIDIA Triton AI servers fully.
2. Exploits error messages to leak memory names, then abuses the shared memory API for remote code execution.
3. Update immediately - affects widely-used AI deployment infrastructure.
Güvenlik Açığı Zinciri NVIDIA Triton Etkinlik Sunucusu
Güvenlik açığı zinciri, AI modellerini işletmeler arasında ölçekte çalıştırmak için kullanılan yaygın bir açık kaynak platformu olan NVIDIA Triton Etkinlik Sunucusunu hedefler.
Wiz Research, 4 Ağustos 2025’te piyasaya sürülen yamalarla Nvidia’nın bulgularını sorumlu bir şekilde açıkladı.
Saldırı, küçük bir bilgi sızıntısı ile başlar, ancak sistem uzlaşmasını tamamlamak için yükselir, tescilli AI modellerinin hırsızlığı, hassas verilerin maruz kalması, AI model yanıtlarının manipülasyonu ve saldırganlara ağ pivot noktaları sağlama gibi kritik riskler oluşturur.
Güvenlik açığı, Triton ekosistemindeki en popüler ve çok yönlü arka uçlardan biri olan Python arka ucunu özellikle etkiler.
Bu arka uç sadece Python tarafından yazılmış modellere hizmet etmekle kalmaz, aynı zamanda potansiyel saldırı yüzeyini önemli ölçüde genişleterek diğer arka uçlar için bir bağımlılık görevi görür.
AI/ML operasyonları için Triton kullanan kuruluşlar, fikri mülkiyeti ve operasyonel güvenliklerine karşı acil tehditlerle karşı karşıyadır.
Saldırı zinciri,/dev/shm/adresinde bulunan paylaşılan bellek bölgeleri aracılığıyla sofistike bir süreçler arası iletişim (IPC) sömürü yöntemi kullanır.
Adım 1, istisnalara neden olan hazırlanmış büyük isteklerle bir bilgi açıklama güvenlik açığını tetiklemeyi, arka uçun dahili paylaşılan bellek adını “Triton_python_backend_shm_region_4f50c226-b3d0-46e8-AC59-d4-d4-d4-d4-d4-d4-d4-b3d0-46e8-AC59-d4-d4-d4-d3d0-46e gibi artışla ortaya çıkarmayı içerir.
Adım 2, meşru kullanıcı ve özel iç bölgeler arasında ayrım yapmak için uygun bir doğrulamadan yoksun olan Triton’un kullanıcıya dönük paylaşılan bellek API’sını kullanır.
Saldırganlar, sızdırılan dahili paylaşılan bellek anahtarını kayıt uç noktası üzerinden kaydedebilir ve Python Backend’in kritik veri yapıları ve kontrol mekanizmaları içeren özel belleğine okuma/yazma ilkelleri kazanabilir.
Adım 3, mevcut veri yapılarını yozlaştıran bu bellek erişiminden yararlanır, sınır dışı bellek erişimi için MemoryShm ve SendMessageBase gibi işaretçileri manipüle eder ve uzak kod yürütülmesini sağlamak için kötü niyetli IPC mesajları oluşturur.
NVIDIA, Triton Etkinlik Sunucusu sürüm 25.07’de yamalar yayınladı ve kuruluşlar derhal güncellenmeli.
Güvenlik açığı hem ana sunucuyu hem de Python arka uç bileşenlerini etkiler ve tüm dağıtımlarda kapsamlı güncellemeler gerektirir.
WIZ müşterileri, kamuya açık VM’ler, sunucusuz işlevler ve kaplar da dahil olmak üzere savunmasız örnekleri tanımlamak için güvenlik açığı bulguları sayfası ve güvenlik grafiği aracılığıyla özel algılama sorgularını kullanabilirler.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches