网络安全研究员详细说明了开源人工智能 (AI) 基础设施平台 Ollama 中存在的一个现已修复的远程代码执行漏洞 (CVE-2024-37032)。

该漏洞被云安全公司 Wiz 称为 “Probllama”，由研究员在2024年5月5日披露，并已在5月7日发布的版本0.1.34中修复。Ollama 是用于在Windows、Linux 和 macOS 设备上进行本地封装、部署以及运行大语言模型 (LLMs) 的服务。

该漏洞的根因在于输入验证不充分导致路径遍历，使攻击者用于覆写服务器上的任意文件并最终导致远程代码执行后果。攻击者需要向 Ollama API 服务器发送特殊构造的HTTP请求才能实施成功利用。攻击者需要利用 API 端点 “/api/pull”（用于从官方注册表或私有仓库下载模型），在digest字段中包含路径遍历 payload 的恶意模型 manifest 文件。

该漏洞不仅可用于损坏系统上的任意文件，还可被用于通过覆写与 dynamic linker （“id.so”）相关的配置文件，远程获得代码执行能力，包含恶意共享库并在每次执行任意程序前启动。

虽然API 服务器与 localhost 绑定使Linux的默认安装很大程度上降低了远程代码执行风险，但镜像部署并非如此，因为API服务器遭公开暴露。安全研究员 Sagi Tzadik 表示，“该问题在 Docker 安装中极其严重，因为服务器以root权限运行并默认监听 ‘0.0.0.0’，从而导致该漏洞遭远程利用。”

更糟糕的是，Ollama 缺乏相关认证，攻击者可利用公开可访问的服务器窃取或篡改 AI 模型并攻陷自我托管的AI引用服务器。这就要求使用中间件如认证的反向代理保护此类服务的安全。Wiz 公司表示已发现1000多个 Ollama 实例在没有任何防护的情况下托管着大量AI模型。

Tzadik 表示，“CVE-2024-37032是一个易于利用的远程代码执行漏洞，影响现代AI基础设施。尽管代码库相对较新且以现代程序语言编写，但典型漏洞如路径遍历仍然是一个问题。”

AI 安全公司 Protect AI 曾警告称，多种开源AI/ML工具受60多个缺陷影响，其中一些严重漏洞可导致信息泄露、受限资源遭访问、提权以及系统遭完全接管。

其中最严重的漏洞是CVE-2024-22476（CVSS评分10），它是位于 Intel Neural Compressor 软件中的SQL注入漏洞，可导致攻击者从主机系统中下载任意文件。该漏洞已在2.5.0中修复。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~