ShellTorch: ошибки в TorchServe угрожают мировым IT-гигантам

Исследовательская группа Oligo Security обнаружила комплекс критических уязвимостей в open source инструменте для работы с ИИ-моделями TorchServe , который используется десятками тысяч серверов в интернете, включая сервера крупных организаций. Уязвимости получили общее название ShellTorch.

TorchServe, поддерживаемый Meta* и Amazon, является популярным инструментом для развертывания и масштабирования моделей PyTorch в промышленной среде. Среди пользователей сервиса – ученые, занимающиеся исследованиями в области искусственного интеллекта, а также крупные компании, включая Amazon, OpenAI, Tesla, Azure, Google и Intel.

Уязвимости ShellTorch предоставляют возможность несанкционированного доступа к серверам и удаленному выполнению кода на уязвимых системах. Проблемы затрагивают версии TorchServe с 0.3.0 по 0.8.1.

• Первая уязвимость связана с неправильной конфигурацией API управления, что приводит к тому, что веб-панель по умолчанию привязывается к IP-адресу 0.0.0.0, а не к localhost, что делает ее доступной для внешних запросов. Из-за отсутствия аутентификации любой пользователь может загрузить злонамеренные модели с внешнего адреса.
• Вторая проблема, отслеживаемая как CVE-2023-43654 (CVSS: 9.8), это ошибка подделки запроса на стороне сервера (Server-Side Request Forgery, SSRF), которая в случае эксплуатации в составе цепочки уязвимостей может привести к удаленному выполнению кода (Remote Code Execution, RCE).
• Третья уязвимость, отслеживаемая как CVE-2022-1471 (CVSS: 9.8), связана с проблемой десериализации Java, которая также может привести к удаленному выполнению кода из-за небезопасной десериализации в библиотеке SnakeYAML.

Аналитики Oligo обнаружили десятки тысяч IP-адресов, подверженных атакам ShellTorch, некоторые из них принадлежат крупным международным организациям.

Для устранения уязвимостей пользователям рекомендуется обновиться до версии TorchServe 0.8.2 , выпущенной 28 августа 2023 года. Кроме того, пользователи должны правильно настроить консоль управления, задав адрес управления как http://127.0.0.1:8081 в файле config.properties, чтобы TorchServe привязывался к localhost, а не ко всем настроенным на сервере IP-адресам. Также следует убедиться, что сервер получает модели только из доверенных доменов. Для этого нужно обновить allowed_urls в файле config.properties соответственно.

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.