KI-Tool: Kritische Sicherheitslücken in TorchServe
In TorchServe, einer Komponente des Maschinenlernsystems PyTorch, klaffen kritische Schwachstellen. Updates sollten zügig installiert werden.
(Bild: Peshkova/ Shutterstock.com)
IT-Sicherheitsforscher warnen vor mehreren, teils kritischen Sicherheitslücken in PyTorch. In der Komponente TorchServe des quelloffenen Maschinenlernsystems von Meta und Amazon haben sie die Lecks entdeckt, die Angreifern das Einschmuggeln von Schadcode aus der Ferne und die volle Übernahme der Server ermöglicht. Tausende öffentlich zugreifbare Systeme sind betroffen, auch von sehr großen Organisationen.
Wie die IT-Forscher von Oligo in ihrer Sicherheitsmeldung schreiben, steht in der Standardkonfiguration von TorchServe das Management Interface offen im Netz. Ohne jedwede Form der Authentifizierung ermöglicht es allen Zugriff. Die unsichere Deserialisierung eines bösartigen Modells erlaubt Angreifern aus dem Netz zudem, dem System eigenen Code unterzuschieben (CVE-2022-1471, CVSS 9.9, Risiko "kritisch").
TorchServe: Kombination aus drei Lücken
Eine weitere Lücke ermöglicht eine sogenannte Server-Side-Request-Forgery (SSRF), die üblicherweise Zugriff auf eigentlich in Netzwerk abgeschirmte Ressourcen zulässt (CVE-2023-43654, CVSS 9.8, kritisch). Hierdurch können bösartige Akteure aus dem Netz Schadcode einschleusen und von beliebigen Domains Konfigurationen hochladen.
Die IT-Forscher erläutern, dass die Kombination der Schwachstellen das Ausführen von Schadcode aus dem Netz und die Übernahme der Server ermöglicht. Zehntausende Instanzen seien im Netz zugreifbar und für Angriffe anfällig.
Die Sicherheitslücken schließen Amazon und Meta mit der Version 0.8.2 von PyTorch TorchServe. Amazon empfiehlt in einer Sicherheitswarnung, dass Nutzer der PyTorch Inference Deep Learning Containers (DLC) 1.13.1, 2.0.0 oder 2.0.1 in den EC2-, EKS- und ECS-Diensten, die vor dem 11. September veröffentlicht wurden, TorchServer auf den neuen Stand aktualisieren. Da die Standardkonfiguration einige der Probleme nicht beseitige, seien weitere Maßnahmen zu ergreifen, schreiben die Oligo-Forscher. Die Software lauscht standardmäßig auf der Interface-Adresse 0.0.0.0. In der Konfigurationsdatei sollte hier eine Einschränkung auf sichere Netze erfolgen.
Im März hatte das PyTorch-Team Version 2.0 des Machine-Learning-Frameworks veröffentlicht. Es verbesserte die Geschwindigkeit mit Python-basierter Kompilierung.
(dmk)
