Sicherheitsforscher finden kritische Fehler in KI-Werkzeugen Ray, MLflow und H2O

Genau wie jede andere Software sind auch AI-Werkzeuge nicht vor Sicherheitslücken gefeit. Neben spezifischen Problemen wie Prompt Injection leidet KI-Software jedoch vor allem unter klassischen Problemen wie Codeschmuggel, Cross Site Scripting und unerlaubten Dateioperationen. Die Initiatoren eines AI-spezifischen Programms zur Auszahlung von Belohnungen für gemeldete Sicherheitslücken haben nun eine Übersicht über die Funde des letzten Monats veröffentlicht, die es in sich hat.

Gleich drei als kritisch eingestufte Sicherheitslücken haben Sicherheitsforscher in dem python-basierten Machine-Learning-Framework Ray gefunden. Im webbasierten "Dashboard" zur Überwachung der Leistung einer Ray-Installation können Externe beliebigen Code mittels des URL-Parameters format=`echo test` einschleusen. Der so übergebene Bash-Code wird direkt mit Root-Rechten ausgeführt, der Ray-Server ist somit kompromittiert. Entsprechend hoch fällt der CVSSv3-Wert aus: 10 von 10 möglichen Punkten gehen an die kritische Sicherheitslücke CVE-2023-6019. Die Weboberfläche der Werkzeugsammlung erlaubt mittels einer klassischen Parameter-Manipulation à la filename=../../../../../etc/passwd Angreifern das Einbinden beliebiger Dateien in die Ray-GUI (CVE-2023-6020, CVSSv3 9.3/10, "kritisch") und deren Ausgabe via API (CVE-2023-6021, CVSSv3 9.3/10, "kritisch"). Immerhin stehen Updates für die Sicherheitslücken bereit, Betroffene müssen via Pypi von der fehlerhaften Version 2.6.3 auf eine bereinigte Ausgabe wechseln.

MLflow und H2O erlauben Codeschmuggel

Auch MLflow, gemäß der Projektseite eine "Open-Source-Plattform für den Lebenszyklus des Machine Learning", bleibt von Sicherheitslücken kritischen Ausmaßes nicht verschont. Ein Problem in der Verarbeitung von URl-Parametern erlaubt Angreifern den Zugriff auf Dateien außerhalb des MLflow-Wurzelverzeichnisses (CVE-2023,6015, CVSSv3 10/10, "kritisch"), die Codeausführung über den Upload beliebiger Dateien ist Gegenstand von CVE-2023-6018 (CVSSv3 10/10, "kritisch", noch kein Update verfügbar) und zwei Lücken erlauben die Manipulation und Auflistung von Dateien (CVE-2023-1177, CVSSv3 9.3/10, "kritisch", CVE-2023-1176, CVSSv3 5.9/10, "mittel").

In H2O, ebenfalls einer Open-Source-Plattform für Machine Learning, können Angreifer ohne vorherige Anmeldung präparierte Modelle hochladen und so beliebige Kommandos auf einem H2O-Server ausführen (CVE-2023-6016, CVSSv3 10/10, "kritisch"). Die Sicherheitslücke in Version 3.42.0.2 ist bislang nicht behoben. Zudem fanden Sicherheitsforscher noch eine Möglichkeit, lokale Dateien über die Webschnittstelle auszugeben (CVE-2023-6038, CVSSv3 9.3/10, "kritisch", kein Update verfügbar) und eine Möglichkeit, Cross-Site-Scripting auszuführen (CVE-2023-6013, CVSSv3 9.3/10, "kritisch" kein Update verfügbar). Admins betroffener H2O-Instanzen sind aufgerufen, den Zugriff auf die angreifbaren Anwendungen einzuschränken, um das Risiko eines Exploits zu verringern.

Exploit-Code frei Haus

Zusätzlich zu ausführlichen Sicherheitshinweisen sind auf der Übersichtsseite bei Protect AI auch Github-Repositories mit Beispiel-Exploits, Vorlagen für Nuclei und Metasploit-Modulen verlinkt. AI-Admins, die ihre Infrastruktur einer Sicherheitsüberprüfung unterziehen wollen, finden dort die geeigneten Werkzeuge.

Sicherheitslücken in KI-Anwendungen haben sich zu einem großen Thema in der Informationssicherheit entwickelt. Vor allem stehen Angriffe gegen die Verarbeitungslogik der Sprachmodelle im Mittelpunkt, die über "Prompt Injection" die Ausführung unzulässiger Anfragen ermöglichen.

(cku)