Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Schwachstellen in Open-Source-ML-Frameworks entdeckt

Cybersecurity-Forscher haben schwerwiegende Sicherheitslücken in beliebten Open-Source-Tools und -Frameworks für maschinelles Lernen (ML) aufgedeckt, darunter MLflow, H2O, PyTorch und MLeap. Diese Schwachstellen könnten Angreifern ermöglichen, schadhaften Code auszuführen und kritische Systeme zu kompromittieren.

Lesezeit 2 Min.

Die von JFrog entdeckten Schwachstellen gehören zu einer größeren Sammlung von 22 Sicherheitsmängeln, die das Unternehmen im vergangenen Monat erstmals bekannt gemacht hat.

Während sich die zuvor beschriebenen Schwachstellen auf Serverkomponenten konzentrierten, betreffen die neuen Schwachstellen ML-Clients. Diese befinden sich in Bibliotheken, die eigentlich als sicher geltende Modellformate wie Safetensors verarbeiten.

„Die Kompromittierung eines ML-Clients innerhalb eines Unternehmens kann Angreifern weitreichenden Zugang verschaffen“, erklärt JFrog. Ein betroffener ML-Client könnte über Berechtigungen verfügen, um auf wichtige Dienste wie Modellregister oder MLOps-Pipelines zuzugreifen.

Dies könnte dazu führen, dass sensible Daten wie Anmeldedaten für die Modellregistrierung preisgegeben werden. Ein Angreifer könnte so manipulierte Modelle einschleusen oder Code ausführen, um Hintertüren in ML-Systemen zu platzieren.

Die Liste der Sicherheitslücken umfasst die folgenden Punkte:

  1. CVE-2024-27132 (CVSS-Score: 7,2): Ein Problem mit unzureichender Datenbereinigung in MLflow kann zu Cross-Site-Scripting-Angriffen (XSS) führen. Dies tritt auf, wenn in einem Jupyter-Notebook eine nicht vertrauenswürdige MLflow-Vorlage ausgeführt wird. Letztlich kann dies in einer clientseitigen Remote-Code-Ausführung (RCE) enden.
  2. CVE-2024-6960 (CVSS-Score: 7,5): Eine unsichere Deserialisierung in H2O beim Import eines nicht vertrauenswürdigen Machine-Learning-Modells. Dies könnte potenziell zu einer Remote-Code-Ausführung (RCE) führen.
  3. Path-Traversal-Problem in PyTorch: Im TorchScript-Feature von PyTorch besteht eine Schwachstelle, die zu Denial-of-Service-Angriffen (DoS) oder Code-Ausführung führen kann. Dies geschieht durch das Überschreiben beliebiger Dateien, was kritische Systemdateien oder legitime Pickle-Dateien gefährden kann. Für diese Schwachstelle gibt es keine CVE-Kennung.
  4. CVE-2023-5245(CVSS-Score: 7,5): Ein Path-Traversal-Problem in MLeap beim Laden eines gespeicherten Modells im ZIP-Format kann eine Zip-Slip-Sicherheitslücke auslösen. Dadurch wird das Überschreiben beliebiger Dateien ermöglicht, was potenziell zur Code-Ausführung führen kann.

JFrog warnte davor, ML-Modelle ohne sorgfältige Prüfung zu laden – selbst wenn sie in als sicher geltenden Formaten wie Safetensors vorliegen. Diese Modelle können dennoch die Ausführung beliebigen Codes ermöglichen.

„KI- und Machine-Learning-Tools bieten enormes Innovationspotenzial, können jedoch auch ein Einfallstor für Angreifer sein, die erhebliche Schäden in einer Organisation anrichten können“, mahnt Shachar Menashe, Vice President of Security Research bei JFrog, in einer Stellungnahme. Der Sicherheitsexperte weiter: „Um sich vor solchen Bedrohungen zu schützen, ist es entscheidend, genau zu wissen, welche Modelle verwendet werden, und niemals nicht vertrauenswürdige ML-Modelle zu laden – auch nicht aus sogenannten ‚sicheren‘ ML-Repositories. In einigen Fällen könnte dies zur Remote-Code-Ausführung führen und erhebliche Schäden für Ihr Unternehmen verursachen.“

Diesen Beitrag teilen: