Lỗ hổng xảy ra khi một nút công nhân tuần tự hóa và gửi một Hàm Định nghĩa Người dùng Python (PythonUDF) đến nút chính. Nút chính sau đó giải tuần tự và thực thi hàm mà không có sự xác thực đúng cách. Việc thiếu hạn chế này đối với các cuộc gọi hàm cho phép kẻ tấn công từ xa xâm nhập các nút chính, dẫn đến khả năng đánh cắp dữ liệu nhạy cảm liên quan đến AI.
Theo một cảnh báo từ NIST, lỗ hổng này cho phép các nút công nhân tuần tự hóa và đóng gói các hàm và tensor vào PythonUDF, sau đó được gửi đến nút chính. Quá trình giải tuần tự của nút chính và việc thực thi hàm sau đó có thể bị khai thác để thực thi mã từ xa bằng các hàm như ‘eval’.
CVE-2024-5480 đã được gán điểm CVSS là 10, mức độ nghiêm trọng cao nhất. Lỗ hổng này ảnh hưởng đến các phiên bản PyTorch lên đến 2.2.2, và người dùng được khuyến nghị mạnh mẽ nâng cấp lên phiên bản mới nhất, 2.3.1, để giảm thiểu rủi ro này. Lỗ hổng này đã được báo cáo vào ngày 12 tháng 4 năm 2024, nhấn mạnh nhu cầu cấp bách cho các tổ chức sử dụng PyTorch trong các môi trường đào tạo phân tán phải thực hiện các bản cập nhật bảo mật cần thiết.
Lỗ hổng nghiêm trọng này nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ trong các khung công tác AI và học máy. Khi các mô hình AI và dữ liệu đào tạo trở thành các mục tiêu ngày càng có giá trị, các tổ chức phải ưu tiên cập nhật thường xuyên, kiểm tra kỹ lưỡng và giám sát chủ động để bảo vệ chống lại các mối đe dọa bảo mật nghiêm trọng như vậy.
Source: SecurityWeek
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.