SK-CERT Bezpečnostné varovanie V20240221-01

21. februára 2024

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.8

Identifikátor

Open-source AI development supply chain – kritická bezpečnostná zraniteľnosť

Popis

Bezpečnostní výskumníci zverejnili informácie o zraniteľnostiach nachádzajúcich sa v dodávateľskom reťazci open source softvéru v oblasti umelej inteligence a strojového učenia (OSS AI/ML), z ktorých jedna je označená ako kritická.
Kritická bezpečnostná zraniteľnosť s označením CVE-2023-6975 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov komponentu mlflow/mlflow a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Ostatné bezpečnotné zraniteľnosti môžu spôsobiť vykonanie škodlivého kódu alebo prepísanie ľubovolných súborov s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

15.2.2024

CVE

CVE-2023-6975, CVE-2023-6753, CVE-2023-6730, CVE-2023-6940, CVE-2023-6976, CVE-2023-31036, CVE-2023-6909, CVE-2024-0964

IOC

–

Zasiahnuté systémy

mlflow/mlflow
mlflow/mlflow vo Windows
huggingface/transformers
Triton-inference-server/server
gradio-app/gradio

Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v sekcii ZDROJE

Následky

Vykonanie škodlivého kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Na niektoré uvedené zraniteľnosti je v súčasnosti voľne dostupný Proof-of-Concept kód. Detailné inštrukcie môžete nájsť na webovej doméne huntr.com uvedenej v sekcii ZDROJE.
Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať.

Zdroje

https://protectai.com/threat-research/february-vulnerability-report
https://nvd.nist.gov/vuln/detail/CVE-2023-6975
https://nvd.nist.gov/vuln/detail/CVE-2023-6753
https://nvd.nist.gov/vuln/detail/CVE-2023-6730
https://nvd.nist.gov/vuln/detail/CVE-2023-6940
https://nvd.nist.gov/vuln/detail/CVE-2023-6976
https://nvd.nist.gov/vuln/detail/CVE-2023-31036
https://nvd.nist.gov/vuln/detail/CVE-2023-6909
https://nvd.nist.gov/vuln/detail/CVE-2024-0964
https://huntr.com/bounties/b27148e3-4da4-4e12-95ae-756d33d94687/?_gl=1%2abc1up%2a_ga%2aMTU2MjU3OTIxLjE3MDgzMzU5ODg.%2a_ga_MT9HL3EKXV%2aMTcwODQyMjM2OS41LjAuMTcwODQyMjM2OS42MC4wLjA.
https://huntr.com/bounties/25e25501-5918-429c-8541-88832dfd3741/?_gl=1%2abc1up%2a_ga%2aMTU2MjU3OTIxLjE3MDgzMzU5ODg.%2a_ga_MT9HL3EKXV%2aMTcwODQyMjM2OS41LjAuMTcwODQyMjM2OS42MC4wLjA.
https://huntr.com/bounties/423611ee-7a2a-442a-babb-3ed2f8385c16/?_gl=1%2abc1up%2a_ga%2aMTU2MjU3OTIxLjE3MDgzMzU5ODg.%2a_ga_MT9HL3EKXV%2aMTcwODQyMjM2OS41LjAuMTcwODQyMjM2OS42MC4wLjA.

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20240221-01

SK-CERT Bezpečnostné varovanie V20240429-02

SK-CERT Bezpečnostné varovanie V20240429-01

SK-CERT Bezpečnostné varovanie V20240426-05