Lỗ hổng nghiêm trọng trong vLLM cho phép tấn công từ xa chiếm quyền máy chủ AI

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
97
797 bài viết
Lỗ hổng nghiêm trọng trong vLLM cho phép tấn công từ xa chiếm quyền máy chủ AI
WhiteHat Team
Một lỗ hổng bảo mật nghiêm trọng (CVE-2025-47277) vừa được phát hiện trong vLLM – nền tảng phục vụ suy luận hiệu suất cao dành cho các mô hình ngôn ngữ lớn (LLMs).

e3abcf55309a85c4dc8b.jpg

Đây là một lỗ hổng cực kỳ nghiêm trọng trong hạ tầng AI mã nguồn mở. Với sự phổ biến ngày càng tăng của LLM nội bộ, mọi tổ chức triển khai mô hình AI cần đánh giá ngay rủi ro liên quan đến vLLM và cập nhật phần mềm kịp thời. Lỗ hổng này có thể bị khai thác để thực thi mã từ xa (Remote Code Execution – RCE) trên máy chủ, khiến hệ thống AI có nguy cơ bị chiếm quyền hoàn toàn từ bên ngoài.

Thông tin kỹ thuật:
  • Mã định danh: CVE-2025-47277
  • Mức độ nghiêm trọng: Cực kỳ nguy hiểm (CVSS 9.8)
  • Phiên bản bị ảnh hưởng: Tất cả phiên bản trước 0.8.5 của vLLM
  • Thành phần ảnh hưởng: Lớp PyNcclPipe dùng trong giao tiếp phân tán
  • Loại lỗ hổng: Thực thi mã từ xa (RCE)
Trong các hệ thống vLLM triển khai theo mô hình phân tán (distributed), thành phần PyNcclPipe có nhiệm vụ truyền dữ liệu KV cache giữa các node. Để làm việc này, nó sử dụng hàm pickle.loads() của Python – một phương thức không an toàn nếu xử lý dữ liệu từ nguồn không tin cậy, do có thể thực thi mã tùy ý trong quá trình giải mã.
➜Hacker có thể gửi dữ liệu độc hại được "đóng gói" bằng pickle đến máy chủ, khiến máy tự động thực thi mã độc, từ đó chiếm toàn quyền kiểm soát hệ thống.

Mức độ nghiêm trọng:
  • Lỗ hổng này có thể bị khai thác mà không cần xác thực, nếu attacker có thể gửi dữ liệu đến node chạy vLLM.
  • Trong môi trường AI ngày càng phổ biến, đặc biệt tại các tổ chức ứng dụng AI nội bộ hoặc qua API công cộng, nguy cơ rủi ro là rất cao.
  • vLLM hiện đang được dùng rộng rãi trong các mô hình như LLaMA, Mistral, Phi-2...
Các chuyên gia WhiteHat khuyến cáo người dùng:
  • Nâng cấp ngay lên vLLM 0.8.5+: Bản 0.8.5 đã vá hoàn chỉnh lỗ hổng bằng cách chỉ bind socket PyNcclPipe vào interface nội bộ được chỉ định.
  • Giới hạn giao diện lắng nghe: Cấu hình KVTransferConfig.kv_ip thành địa chỉ private cụ thể (ví dụ 127.0.0.1 hoặc subnet nội bộ), tắt mặc định listen trên all-interfaces.
  • Áp dụng firewall hoặc ACL mạng: Chỉ mở port TCPStore (mặc định 8001) giữa các node GPU tin cậy, chặn mọi truy cập từ mạng ngoài.
Nếu bạn nghi ngờ hệ thống có thể bị ảnh hưởng, hãy kiểm tra ngay phiên bản vLLM và thực hiện các biện pháp giảm thiểu càng sớm càng tốt.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng 10 điểm cho phép truy cập và cấu hình thiết bị mà không cần tài khoản
  • Lỗ hổng nghiêm trọng trong Palo Alto GlobalProtect cho phép thực thi mã từ xa
  • Lỗ hổng nghiêm trọng trong glibc cho phép chiếm quyền root hàng triệu hệ thống Linux
  • Lỗ hổng trong plugin WordPress Eventin đe dọa hơn 10.000 website bị chiếm quyền
  • Lỗi bảo mật nghiêm trọng trên Chrome gây rò rỉ dữ liệu qua Loader (CVE-2025-4664)
  • Adobe vá hàng loạt lỗ hổng nghiêm trọng trên nhiều sản phẩm
    • Thẻ
    llms rce vllm
    Bên trên