Server-Hijacks und Privilegienausweitung möglich : ML-Toolkits mit schweren Schwachstellen

Laut einer neuen Analyse des Sicherheitsunternehmens JFrog können die serverseitigen Schwachstellen Angreifern ermöglichen, zentrale Server in Unternehmen zu übernehmen, darunter ML-Modellregistrierungen, ML-Datenbanken und ML-Pipelines.

Entdeckte Schwachstellen in Weave, ZenML und Mage AI

Die Schwachstellen, die in Weave, ZenML, Deep Lake, Vanna.AI und Mage AI gefunden wurden, lassen sich in drei größere Kategorien einteilen, bezogen auf die Komponenten, die aus der Ferne übernommen werden können:

• Modellregistrierungen,
• ML-Datenbank-Frameworks und
• ML-Pipelines.

Hier eine kurze Beschreibung der gefundenen Schwachstellen:

• CVE-2024-7340 (CVSS-Score: 8,8) – Eine Directory-Traversal-Schwachstelle im Weave ML-Toolkit ermöglicht es einem Nutzer mit niedrigen Rechten, durch Zugriff auf Dateien im gesamten Dateisystem seine Berechtigungen auf Admin-Ebene zu erhöhen, indem er die Datei „api_keys.ibd“ liest. (Behoben in Version 0.50.8)
• Unzureichende Zugriffskontrolle im ZenML MLOps-Framework – Eine Schwachstelle ermöglicht es einem Benutzer mit Zugang zu einem ZenML-Server, seine Rechte vom Betrachter auf volle Admin-Berechtigung zu erhöhen, was ihm Zugriff auf den Secret Store verschafft. (Ohne CVE-Kennung)
• CVE-2024-6507 (CVSS-Score: 8,1) – Eine Kommandoinjektions-Schwachstelle in der Deep Lake AI-Datenbank erlaubt es Angreifern, Systembefehle beim Hochladen eines externen Kaggle-Datensatzes einzuschleusen, da eine ausreichende Prüfung der Eingaben fehlt. (Behoben in Version 3.9.11)
• CVE-2024-5565 (CVSS-Score: 8,1) – Eine Schwachstelle für Prompt Injection in der Vanna.AI-Bibliothek könnte ausgenutzt werden, um eine Remote-Code-Ausführung auf dem Host-System zu erreichen.
• CVE-2024-45187 (CVSS-Score: 7,1) – Eine falsche Privilegienvergabe im Mage AI-Framework erlaubt es Gastnutzern, über den Mage AI-Terminalserver beliebigen Code auszuführen. Dies ist möglich, da Gäste irrtümlicherweise hohe Rechte erhalten und für 30 Tage aktiv bleiben, selbst nach ihrer Löschung.
• CVE-2024-45188, CVE-2024-45189 und CVE-2024-45190 (CVSS-Scores: 6,5) – Mehrere Path-Traversal-Schwachstellen in Mage AI erlauben es Remote-Nutzern mit der „Viewer“-Rolle, beliebige Textdateien vom Mage-Server zu lesen. Dies ist über die Funktionen „File Content“, „Git Content“ und „Pipeline Interaction“ möglich.

„Da MLOps-Pipelines Zugang zu den ML-Datensätzen, dem Training und der Veröffentlichung von ML-Modellen eines Unternehmens haben, könnte das Ausnutzen einer solchen Pipeline zu sehr schwerwiegenden Sicherheitsvorfällen führen“, erklärt JFrog.

„Abhängig davon, auf welche Ressourcen die MLOps-Pipeline Zugriff hat, könnte ein Cyber-Krimineller gezielt Angriffe wie das Manipulieren von Modellen oder das Vergiften von Datensätzen durchführen.“

Weitere MLOps-Schwachstellen und erste Entwicklungen für den Schutz

Diese Informationen kommen zwei Monate nach der Entdeckung von über 20 Schwachstellen, die MLOps-Plattformen angreifbar machen könnten. Es gibt jedoch auch erfreuliche Entwicklungen. Dazu gehört das neue Verteidigungs-Framework mit dem Codenamen „Mantis“, das Prompt Injection nutzt, um Cyberangriffe auf große Sprachmodelle (LLMs) mit über 95 Prozent Wirksamkeit abzuwehren.

„Mantis fügt bei einem automatisierten Angriff gezielt manipulierte Eingaben in die Systemantworten ein, die das LLM des Angreifers dazu bringen, seine eigenen Aktionen zu stören (passive Verteidigung) oder sogar das System des Angreifers zu gefährden (aktive Verteidigung)“, erläutern Wissenschaftler der George Mason University. „Mantis kann gezielt verwundbare Köderdienste einsetzen, um Angreifer anzulocken, und mithilfe dynamischer Prompt-Injektionen das Sprachmodell des Angreifers so manipulieren, dass es den Angreifer eigenständig zurückhackt.“

Weitere Artikel:

Vom Perimeter-Schutz zu Zero-Trust-Architekturen

Trusted Computing & Co.