Siber güvenlik araştırmacıları, Ollama yapay zeka (AI) çerçevesinde kötü niyetli bir aktör tarafından hizmet reddi, model zehirlenmesi ve model hırsızlığı gibi çeşitli eylemleri gerçekleştirmek için kullanılabilecek altı güvenlik açığını ortaya çıkardı.
Oligo Güvenlik araştırmacısı Avi, “Toplu olarak, güvenlik açıkları, bir saldırganın tek bir HTTP isteği ile hizmet reddi (DoS) saldırıları, model zehirlenmesi, model hırsızlığı ve daha fazlasını içeren çok çeşitli kötü amaçlı eylemler gerçekleştirmesine olanak tanıyabilir.” Lumelsky geçen hafta yayınlanan bir raporda şunları söyledi.
Ollama, kullanıcıların büyük dil modellerini (LLM’ler) Windows, Linux ve macOS cihazlarında yerel olarak dağıtmasına ve çalıştırmasına olanak tanıyan açık kaynaklı bir uygulamadır. GitHub’daki proje deposu bugüne kadar 7.600 kez çatallandı.
Altı güvenlik açığının kısa bir açıklaması aşağıdadır:
- CVE-2024-39719 (CVSS puanı: 7.5) – Bir saldırganın, sunucudaki bir dosyanın varlığını belirlemek için /api/create uç noktasını kullanarak yararlanabileceği bir güvenlik açığı (0.1.47 sürümünde düzeltildi)
- CVE-2024-39720 (CVSS puanı: 8.2) – Uygulamanın /api/create uç noktası aracılığıyla çökmesine neden olabilecek ve DoS durumuyla sonuçlanabilecek sınır dışı okuma güvenlik açığı (0.1.46 sürümünde düzeltildi)
- CVE-2024-39721 (CVSS puanı: 7.5) – “/dev/random” dosyasını girdi olarak iletirken sürekli olarak /api/create bitiş noktası çağrıldığında kaynakların tükenmesine ve sonuç olarak DoS’a neden olan bir güvenlik açığı (0.1.34 sürümünde düzeltildi)
- CVE-2024-39722 (CVSS puanı: 7.5) – API/Push uç noktasında, sunucuda mevcut dosyaları ve Ollama’nın konuşlandırıldığı tüm dizin yapısını açığa çıkaran bir yol geçiş güvenlik açığı (0.1.46 sürümünde düzeltildi)
- Güvenilmeyen bir kaynaktan gelen /api/pull uç noktası aracılığıyla model zehirlenmesine yol açabilecek bir güvenlik açığı (CVE tanımlayıcısı yok, Yamalanmamış)
- Güvenilmeyen bir hedefe /api/push uç noktası aracılığıyla model hırsızlığına yol açabilecek bir güvenlik açığı (CVE tanımlayıcısı yok, Düzeltme eki yok)
Her iki çözülmemiş güvenlik açığı için Ollama’nın geliştiricileri, kullanıcıların bir proxy veya web uygulaması güvenlik duvarı aracılığıyla hangi uç noktaların internete açık olduğunu filtrelemesini önerdi.
Lumelsky, “Bu, varsayılan olarak tüm uç noktaların açığa çıkmaması gerektiği anlamına geliyor” dedi. “Bu tehlikeli bir varsayım. Herkes bunun farkında değil veya Ollama’ya HTTP yönlendirmesini filtrelemiyor. Şu anda, bu uç noktalara her dağıtımın bir parçası olarak Ollama’nın varsayılan bağlantı noktası üzerinden, herhangi bir ayırma veya yedekleme belgesi olmadan erişilebiliyor.”
Oligo, çoğunluğu Çin, ABD, Almanya, Güney Kore, Tayvan, Fransa, İngiltere, Hindistan, Singapur ve Hong Kong’da olmak üzere Ollama’yı çalıştıran 9.831 benzersiz internete yönelik örnek bulduğunu söyledi. İnternete bakan dört sunucudan birinin belirlenen kusurlara karşı savunmasız olduğu değerlendirildi.
Bu gelişme, bulut güvenlik firması Wiz’in Ollama’yı (CVE-2024-37032) etkileyen ve uzaktan kod yürütme amacıyla kullanılabilecek ciddi bir kusuru açıklamasından dört aydan fazla bir süre sonra gerçekleşti.
Lumelsky, “Ollama’yı izinsiz olarak internete açmak, Docker soketini halka açık internete açmakla eşdeğerdir, çünkü dosya yükleyebilir ve model çekme ve itme yeteneklerine sahiptir (saldırganlar tarafından kötüye kullanılabilir)” dedi.