Shachar Menashe
ML Vulnerabilities – Weitere Schwachstellen erkannt
Vor kurzem hat das Research-Team von JFrog 22 Software-Schwachstellen in Machine Learning-Projekten aufgespürt, analysiert und ausgewertet. Bereits Anfang November hatte es erste Ergebnisse hierzu – damals mit einem Fokus auf serverseitigen ML-Schwachstellen – der Öffentlichkeit vorgestellt. Nun, Anfang Dezember, hat das Team einen zweiten Schwerpunkt vorgestellt: Client-seitige ML-Schwachstellen sowie Schwachstellen in Libraries mit denen sich ML-Formate, die keine Code-Ausführung beim Laden unterstützen, handhaben lassen.
- Im ersteren Fall handelt es sich um Schwachstellen in Machine Learning-Clients, zum Beispiel in Tools, die von Datenwissenschaftlern oder ML-CI/CD-Pipelines (MLOps) verwendet werden. Die Schwachstellen ermöglichen es Angreifern, diese Machine Learning-Clients zu kapern. Meist hat ein ML-Client Zugang zu wichtigen Machine Learning-Diensten, wie ML-Modellregistern oder MLOps-Pipelines. Schon eine einzige Client-Infektion kann dann, in Verbindung mit Post-Exploitation-Techniken, Angreifern eine erhebliche Bewegungsfreiheit innerhalb der Netzwerke ihrer Opfer verschaffen.
- Im zweiten Fall handelt es sich um Schwachstellen der ML-Bibliothek, die beim Laden eines scheinbar sicheren Machine Learning-Modells, das keine „Code-Ausführung beim Laden“ unterstützt, ausgelöst werden können. Auch hier können Angreifer, in Verbindung mit Post-Exploitation-Techniken, ihre Bewegungsfreiheit ausbauen – um dann zum Beispiel, falls es ihnen gelingt, auf einen Machine Learning-Server zuzugreifen, dort abgelegte Machine Learning-Modelle mit Hintertüren auszustatten.
Bei den ML-Schwachstellen handelt es sich um:
- MLflow Recipe XSS to code execution (CVE-2024-27132) – Das JFrog Research Team entdeckte eine Schwachstelle, die die Ausführung von beliebigem clientseitigem JS-Code (XSS) auf einem Client ermöglicht, der ein bösartige Datei lädt. In Fällen, in denen es sich um den Client JupyterLab handelt, kann der XSS zur vollständigen Ausführung von beliebigem Code ausgeweitet werden.
- H2O Code Execution via Malicious Model Deserialization (CVE-2024-6960) – Das JFrog Research Team entdeckte in der H2O-Plattform eine Sicherheitslücke, die die Ausführung von beliebigem Code auf der H2O-Plattform ermöglicht, wenn ein nicht vertrauenswürdiges ML-Modell importiert wird.
- Path Traversal Arbitrary File Overwrite (PyTorch „weights_only“) – Das JFrog Research Team entdeckte eine Path Traversal-Schwachstelle in TorchScript, die zum Schreiben einer beliebigen Datei führen kann – selbst wenn das bösartige TorchScript-Artefakt mit dem scheinbar sicheren Argument weights_only=True geladen wird.
- MLeap ZipSlip Arbitrary File Overwrite (CVE-2023-5245) – Das JFrog Research Team stellte fest, dass die Verwendung von MLeap, aufgrund einer Directory Traversal-Schwachstelle, zum Überschreiben beliebiger Dateien und möglicherweise auch zur Codeausführung führen kann.
