La faille du framework Llama de Meta expose les systèmes d’IA à des risques d’exécution de code à distance
Une faille de sécurité de haute gravité a été révélée dans le framework de modèle de langage large (LLM) Llama de Meta qui, si elle est exploitée avec succès, pourrait permettre à un attaquant d’exécuter du code arbitraire sur le serveur d’inférence llama-stack.
La vulnérabilité, identifiée comme CVE-2024-50050 , s’est vu attribuer un score CVSS de 6,3 sur 10,0. L’entreprise de sécurité de la chaîne d’approvisionnement Snyk, quant à elle, lui a attribué un indice de gravité critique de 9,3.
« Les versions affectées de meta-llama sont vulnérables à la désérialisation de données non fiables, ce qui signifie qu’un attaquant peut exécuter du code arbitraire en envoyant des données malveillantes désérialisées », a déclaré Avi Lumelsky, chercheur chez Oligo Security , dans une analyse plus tôt cette semaine.
La lacune, selon la société de sécurité cloud, réside dans un composant appelé Llama Stack , qui définit un ensemble d’interfaces API pour le développement d’applications d’intelligence artificielle (IA), y compris l’utilisation des propres modèles Llama de Meta.
Plus précisément, il s’agit d’une faille d’exécution de code à distance dans l’implémentation de référence de l’API Python Inference, qui désérialise automatiquement les objets Python à l’aide de pickle , un format jugé risqué en raison de la possibilité d’exécution de code arbitraire lorsque des données non fiables ou malveillantes sont chargées à l’aide de la bibliothèque.
« Dans les scénarios où le socket ZeroMQ est exposé sur le réseau, les attaquants pourraient exploiter cette vulnérabilité en envoyant des objets malveillants conçus à cet effet au socket », a déclaré Lumelsky. « Étant donné que recv_pyobj va décrypter ces objets, un attaquant pourrait réaliser une exécution de code arbitraire (RCE) sur la machine hôte. »
Suite à une divulgation responsable le 24 septembre 2024, le problème a été résolu par Meta le 10 octobre dans la version 0.0.41 . Il a également été corrigé dans pyzmq , une bibliothèque Python qui donne accès à la bibliothèque de messagerie ZeroMQ.
Dans un avis publié par Meta, la société a déclaré avoir corrigé le risque d’exécution de code à distance associé à l’utilisation de pickle comme format de sérialisation pour la communication de socket en passant au format JSON.
Ce n’est pas la première fois que de telles vulnérabilités de désérialisation sont découvertes dans les frameworks d’IA. En août 2024, Oligo a détaillé une « vulnérabilité fantôme » dans le framework Keras de TensorFlow, un contournement de CVE-2024-3660 (score CVSS : 9,8) qui pourrait entraîner l’exécution de code arbitraire en raison de l’utilisation du module marshal non sécurisé.
Cette évolution intervient alors que le chercheur en sécurité Benjamin Flesch a révélé une faille de haute gravité dans le robot d’exploration ChatGPT d’OpenAI, qui pourrait être utilisée comme arme pour lancer une attaque par déni de service distribué (DDoS) contre des sites Web arbitraires.
Le problème est le résultat d’une gestion incorrecte des requêtes HTTP POST vers l’API « chatgpt[.]com/backend-api/attributions », qui est conçue pour accepter une liste d’URL en entrée, mais ne vérifie pas si la même URL apparaît plusieurs fois dans la liste ni n’impose une limite au nombre d’hyperliens qui peuvent être transmis en entrée.
Cela ouvre un scénario dans lequel un mauvais acteur pourrait transmettre des milliers d’hyperliens dans une seule requête HTTP, obligeant OpenAI à envoyer toutes ces requêtes au site de la victime sans tenter de limiter le nombre de connexions ou d’empêcher l’émission de requêtes en double.
En fonction du nombre d’hyperliens transmis à OpenAI, il constitue un facteur d’amplification significatif pour les attaques DDoS potentielles, ce qui surcharge les ressources du site ciblé. L’entreprise d’IA a depuis corrigé le problème.
« Le robot ChatGPT peut être déclenché pour attaquer par DDoS un site Web victime via une requête HTTP vers une API ChatGPT non liée », a déclaré Flesch . « Ce défaut dans le logiciel OpenAI engendrera une attaque DDoS sur un site Web victime sans méfiance, en utilisant plusieurs plages d’adresses IP Microsoft Azure sur lesquelles le robot ChatGPT est exécuté. »
Cette divulgation fait également suite à un rapport de Truffle Security selon lequel les assistants de codage populaires basés sur l’IA « recommandent » de coder en dur les clés d’API et les mots de passe, un conseil risqué qui pourrait induire en erreur les programmeurs inexpérimentés et les amener à introduire des faiblesses de sécurité dans leurs projets.
« Les LLM contribuent à perpétuer ce phénomène, probablement parce qu’ils ont été formés à toutes les pratiques de codage non sécurisées », a déclaré le chercheur en sécurité Joe Leon .
Les nouvelles concernant les vulnérabilités dans les frameworks LLM font également suite à des recherches sur la manière dont les modèles pourraient être exploités pour renforcer le cycle de vie des cyberattaques, y compris l’installation de la charge utile du voleur de l’étape finale et du commandement et du contrôle.
« Les cybermenaces posées par les LLM ne sont pas une révolution, mais une évolution », a déclaré Mark Vaitzman, chercheur chez Deep Instinct . « Il n’y a rien de nouveau là-dedans, les LLM rendent simplement les cybermenaces meilleures, plus rapides et plus précises à plus grande échelle. Les LLM peuvent être intégrés avec succès à chaque phase du cycle de vie d’une attaque avec l’aide d’un pilote expérimenté. Ces capacités sont susceptibles de gagner en autonomie à mesure que la technologie sous-jacente progresse. »
Des recherches récentes ont également démontré une nouvelle méthode appelée ShadowGenes qui peut être utilisée pour identifier la généalogie d’un modèle, y compris son architecture, son type et sa famille en exploitant son graphe de calcul. L’approche s’appuie sur une technique d’attaque précédemment divulguée appelée ShadowLogic .
« Les signatures utilisées pour détecter les attaques malveillantes au sein d’un graphique informatique pourraient être adaptées pour suivre et identifier des modèles récurrents, appelés sous-graphes récurrents, leur permettant de déterminer la généalogie architecturale d’un modèle », a déclaré la société de sécurité IA HiddenLayer dans un communiqué partagé avec The Hacker News.
« Comprendre les familles de modèles utilisées au sein de votre organisation augmente votre connaissance globale de votre infrastructure d’IA, permettant une meilleure gestion de la posture de sécurité. »
Source: https://thehackernews.com/
