-
09/04/2020
-
93
-
618 bài viết
Lỗ hổng nghiêm trọng trong PyTorch Distributed RPC Framework có điểm CVSS 10
Một lỗ hổng nghiêm trọng có mã là CVE-2024-5480 đã được phát hiện trong PyTorch Distributed RPC Framework. Lỗ hổng này được xếp hạng mức độ nghiêm trọng tối đa (CVSS 10).
PyTorch Distributed RPC Framework là một công cụ để mở rộng khối lượng công việc học máy trên nhiều máy. Tuy nhiên, một điểm yếu nghiêm trọng trong thiết kế khiến nó dễ bị khai thác là Framework này không thể xác minh đầy đủ tính xác thực của functions được gọi trong quá trình giao tiếp RPC. Từ đó, tin tặc có thể thực thi mã tùy ý trên master node điều phối quá trình xử lý.
Bằng cách thao túng các lệnh gọi RPC, kẻ tấn công có thể tận dụng các hàm Python tích hợp sẵn như eval hoặc tải các thư viện bên ngoài, giành quyền kiểm soát hoàn toàn master node một cách hiệu quả. Điều này có thể dẫn đến việc đánh cắp các mô hình AI nhạy cảm, dữ liệu đào tạo và các thông tin bí mật khác.
Lỗ hổng CVE -2024-5480 ảnh hưởng đến các phiên bản PyTorch lên đến 2.2.2. Các chuyên gia bảo mật khuyến cáo người dùng hoặc các tổ chức sử dụng PyTorch để đào tạo phân tán, đặc biệt là trong môi trường nhiều CPU, nên nâng cấp lên phiên bản 2.2.3 để giảm thiểu khả năng lỗ hổng có thể bị khai thác.
PyTorch Distributed RPC Framework là một công cụ để mở rộng khối lượng công việc học máy trên nhiều máy. Tuy nhiên, một điểm yếu nghiêm trọng trong thiết kế khiến nó dễ bị khai thác là Framework này không thể xác minh đầy đủ tính xác thực của functions được gọi trong quá trình giao tiếp RPC. Từ đó, tin tặc có thể thực thi mã tùy ý trên master node điều phối quá trình xử lý.
Bằng cách thao túng các lệnh gọi RPC, kẻ tấn công có thể tận dụng các hàm Python tích hợp sẵn như eval hoặc tải các thư viện bên ngoài, giành quyền kiểm soát hoàn toàn master node một cách hiệu quả. Điều này có thể dẫn đến việc đánh cắp các mô hình AI nhạy cảm, dữ liệu đào tạo và các thông tin bí mật khác.
Lỗ hổng CVE -2024-5480 ảnh hưởng đến các phiên bản PyTorch lên đến 2.2.2. Các chuyên gia bảo mật khuyến cáo người dùng hoặc các tổ chức sử dụng PyTorch để đào tạo phân tán, đặc biệt là trong môi trường nhiều CPU, nên nâng cấp lên phiên bản 2.2.3 để giảm thiểu khả năng lỗ hổng có thể bị khai thác.
Theo Security Online