SK-CERT Bezpečnostné varovanie V20240221-01
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
9.8 |
Identifikátor |
Open-source AI development supply chain – kritická bezpečnostná zraniteľnosť |
Popis |
Bezpečnostní výskumníci zverejnili informácie o zraniteľnostiach nachádzajúcich sa v dodávateľskom reťazci open source softvéru v oblasti umelej inteligence a strojového učenia (OSS AI/ML), z ktorých jedna je označená ako kritická. Kritická bezpečnostná zraniteľnosť s označením CVE-2023-6975 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov komponentu mlflow/mlflow a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Ostatné bezpečnotné zraniteľnosti môžu spôsobiť vykonanie škodlivého kódu alebo prepísanie ľubovolných súborov s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
15.2.2024 |
CVE |
CVE-2023-6975, CVE-2023-6753, CVE-2023-6730, CVE-2023-6940, CVE-2023-6976, CVE-2023-31036, CVE-2023-6909, CVE-2024-0964 |
IOC |
– |
Zasiahnuté systémy |
mlflow/mlflow mlflow/mlflow vo Windows huggingface/transformers Triton-inference-server/server gradio-app/gradio Presnú špecifikáciu jednotlivých zasiahnutých produktov nájdete na odkaze v sekcii ZDROJE |
Následky |
Vykonanie škodlivého kódu Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
Odporúčania |
Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Na niektoré uvedené zraniteľnosti je v súčasnosti voľne dostupný Proof-of-Concept kód. Detailné inštrukcie môžete nájsť na webovej doméne huntr.com uvedenej v sekcii ZDROJE. Pri produktoch, pre ktoré ešte neboli vydané bezpečnostné záplaty, odporúčame zraniteľnosti mitigovať podľa odporúčaní od výrobcu, sledovať stránky výrobcu a po vydaní príslušných záplat systémy aktualizovať. |
« Späť na zoznam