שורה תחתונה:
פגיעות קריטית נחשפה בפלטפורמת Alama הפופולרית לבינה מלאכותית בקוד פתוח
חוקרים מגלים פרצת אבטחה חמורה בפלטפורמת Alama
חוקרי אבטחת סייבר גילו לאחרונה פגיעות קריטית בפלטפורמת Alama, פלטפורמת קוד פתוח פופולרית לתשתיות בינה מלאכותית. הפגיעות, שזכתה לכינוי "Vuln4Llama" על ידי חברת אבטחת הענן Wiz, נחשפה בפני מפתחי Alama ב-5 במאי 2024. הצוות של Alama הגיב במהירות ושחרר גרסה מתוקנת תוך יומיים בלבד.
Alama היא פלטפורמה רב-תכליתית המיועדת לאריזה, פריסה והפעלה של מודלים שפתיים גדולים באופן מקומי על מערכות Windows, Linux ו-Mac OS. הפופולריות שלה נובעת מהיכולת שלה להביא יכולות AI עוצמתיות למגוון רחב של מערכות.
ניצול הפגיעות יכול להוביל לביצוע קוד מרחוק
הפגיעות מנצלת חולשה באימות קלט לא מספק, המובילה לפגיעות מעבר נתיב (path traversal) שניתן לנצל אותה בתוצאות הרסניות. התוקף יכול לנצל נקודת קצה ב-API של Alama על ידי שליחת בקשות HTTP מעוצבות בקפידה לשרת ה-API. בקשות זדוניות אלה יכילו קובץ מניפסט מודל עם מטען מעבר נתיב מוסתר בשדה ה-digest.
ניצול הפגיעות לא רק מאפשר לתוקף להשחית קבצים שרירותיים במערכת, אלא גם להשיג יכולת ביצוע קוד מרחוק מלאה. זאת על ידי שכתוב קובץ תצורה קריטי בשם etc/ld.so.preload, המשויך ל-dynamic linker ld.so ומשמש לציון ספריות משותפות שיש לטעון לפני כל ספריה אחרת כאשר תוכנית מופעלת.
פריסות Docker חשופות במיוחד לסיכון
בעוד הסיכון לביצוע קוד מרחוק מופחת במידת מה בהתקנות Linux ברירת המחדל, לא ניתן לומר זאת על פריסות Docker. בהתקנות אלה, שרת ה-API חשוף לעתים קרובות לציבור, מה שיוצר שטח פנים תקיפה גדול בהרבה.
Sagi Zadik, חוקר אבטחה שהיה מעורב בחשיפת הפגיעות, הדגיש את חומרת המצב, במיוחד עבור התקנות Docker. הוא ציין שבהתקנות Docker, השרת פועל עם הרשאות root ומאזין ל-0.0.0.0 כברירת מחדל, מה שמאפשר ניצול מרחוק של הפגיעות.
בנוסף, להתקנות Alama חסרים מנגנוני אימות מובנים. משמעות הדבר היא שאם מופע Alama חשוף לאינטרנט ללא אמצעי הגנה נוספים, הוא למעשה דלת פתוחה לפני האקרים. הם יכולים לגנוב או לשנות מודלי AI, לסכן שרתי AI מתארחים עצמאית ולגרום נזק לארגונים לא חשדניים.
הפגיעות מאפשרת לתוקפים להשיג שליטה מלאה מרחוק במערכות שנפגעו
ניצול הפגיעות מאפשר לתוקפים לשלוט במערכות מרחוק
ניצול הפגיעות מאפשר לתוקפים לא רק להשחית קבצים שרירותיים במערכת, אלא גם להשיג שליטה מלאה מרחוק על המערכות הנפגעות. הם יכולים לעשות זאת על ידי שכתוב קובץ תצורה קריטי בשם etc/ld.so.preload, המשויך ל-dynamic linker ld.so. קובץ זה משמש לציון ספריות משותפות שיש לטעון לפני כל ספריה אחרת בעת הפעלת תוכנית. על ידי הזרקת ספרייה זדונית לקובץ זה, התוקף יכול להבטיח שהקוד הזדוני שלו יופעל בכל פעם שתוכנית רצה במערכת שנפרצה.
פריסות Docker פגיעות במיוחד
בעוד שהסיכון לביצוע קוד מרחוק מופחת במידת מה בהתקנות Linux רגילות, המצב שונה לגמרי בפריסות Docker. בהתקנות אלה, שרת ה-API לעתים קרובות חשוף לאינטרנט, מה שיוצר שטח פנים תקיפה נרחב הרבה יותר עבור תוקפים פוטנציאליים.
Sagi Zadik, חוקר אבטחה שהיה מעורב בחשיפת הפגיעות, הדגיש את חומרת המצב במיוחד עבור התקנות Docker. הוא ציין שבהתקנות אלה, השרת פועל עם הרשאות root ומאזין ל-0.0.0.0 כברירת מחדל, מה שמאפשר ניצול מרחוק של הפגיעות בקלות רבה יותר.
מנגנוני אימות חסרים מגבירים את הסיכון
גורם מחמיר נוסף הוא העדר מנגנוני אימות מובנים בהתקנות Alama. משמעות הדבר היא שאם מופע Alama חשוף לאינטרנט ללא אמצעי הגנה נוספים, הוא למעשה דלת פתוחה עבור האקרים. הם יכולים לגנוב או לשנות מודלי AI, לפגוע בשרתי AI מתארחים עצמאית ולגרום נזק משמעותי לארגונים לא חשדניים.
ההשלכות של פגיעות זו מרחיקות לכת ומדאיגות ביותר. בחקירתם, הצוות של Wiz גילה מעל 1,000 מופעי Alama חשופים המארחים מודלי AI רבים ללא כל הגנה. מופעים אלה הם מטרות קלות עבור תוקפים מיומנים הממתינים לנצל אותם.
הפגיעות נובעת מאימות קלט לא מספק, המוביל לחולשת מעבר נתיב (Path Traversal)
חולשת מעבר נתיב מאפשרת לתוקפים לשבש קבצים שרירותיים במערכת
הפגיעות בפלטפורמת Alama מנצלת חולשה באימות קלט לא מספק, המובילה לחולשת מעבר נתיב (Path Traversal) שניתן לנצל אותה בתוצאות הרסניות. תוקף יכול לנצל את נקודת הקצה /api/models ב-API של Alama, המשמשת בדרך כלל להורדת מודלי AI ממאגרים רשמיים או פרטיים, על ידי שליחת בקשות HTTP מעוצבות בקפידה לשרת ה-API. בקשות זדוניות אלה יכילו קובץ מניפסט מודל עם מטען מעבר נתיב מוסתר בשדה ה-digest.
בשל היעדר אימות תקין, Alama תעבד את קובץ המניפסט הזה ותנסה לאחסן אותו במערכת הקבצים תוך שימוש בנתיב המניפולטיבי, ובכך תאפשר לתוקף לכתוב קבצים למיקומים שרירותיים בשרת. התוקף יכול להשתמש ביכולת כתיבת הקבצים הזו כדי לשתול קובצי מניפסט זדוניים נוספים בשרת, ולמעשה לרשום מודלים מזויפים חדשים על ידי ניצול נקודת קצה נוספת, /api/push.
ניצול הפגיעות מאפשר השגת יכולת ביצוע קוד מרחוק מלאה
ניצול הפגיעות לא רק מאפשר לתוקף לשבש קבצים שרירותיים במערכת, אלא גם להשיג יכולת ביצוע קוד מרחוק מלאה. זאת על ידי שכתוב קובץ תצורה קריטי בשם etc/ld.so.preload, המשויך ל-dynamic linker ld.so ומשמש לציון ספריות משותפות שיש לטעון לפני כל ספריה אחרת כאשר תוכנית מופעלת.
על ידי שינוי קובץ זה והפעלת תהליך חדש, למשל על ידי שאילתת נקודת הקצה /api/chat, התוקף יכול לאלץ את המערכת לטעון ולבצע קוד זדוני, ובכך להשיג יכולת ביצוע קוד מרחוק מלאה. תוקף שמצליח לנצל את הפגיעות הזו יכול לגנוב נתונים רגישים, כולל מפתחות API לשירותים כמו OpenAI, שלעתים קרובות מאוחסנים במשתני סביבה או בקובצי תצורה. כמו כן, הוא יכול לגשת ולהדליף קניין רוחני קנייני, כגון מודלי AI מותאמים אישית או קוד המקור של היישומים המשתמשים ב-Alama.
הפגיעות חושפת פער אבטחה משמעותי בפריסה וניהול של תשתיות AI
גילוי זה מדגיש פער אבטחה משמעותי באופן שבו ארגונים מפרסים ומנהלים את תשתיות ה-AI שלהם. הוא מצטרף למגמה מטרידה יותר בעולם ה-AI והלמידה המכונה, שבו חברת אבטחת ה-AI, Protect AI, הזהירה לאחרונה מפני למעלה מ-60 ליקויי אבטחה המשפיעים על כלי AI ולמידת מכונה שונים בקוד פתוח. פגיעויות אלה נעות בין חשיפת מידע ועד להסלמת הרשאות ואפילו השתלטות מלאה על מערכות.
המקרה של Alama ממחיש את העובדה שגם הטכנולוגיות החדשניות ביותר יכולות ליפול קורבן לפגיעויות קלאסיות. כפי שציין Sagi Zadik, "CVE-2024-37032 היא פגיעות ביצוע קוד מרחוק קלה לניצול, המשפיעה על תשתיות AI מודרניות. למרות שבסיס הקוד יחסית חדש ונכתב בשפות תכנות מודרניות, פגיעויות קלאסיות כמו מעבר נתיב נותרות בעיה".
על ארגונים להיות ערניים לסיכונים הכרוכים בפריסת מערכות AI ולנקוט אמצעי אבטחה מתאימים. זה כולל הגבלת הגישה למופעי Alama, יישום מנגנוני אימות חזקים וניטור שוטף לאיתור פעילות חשודה. רק על ידי אימוץ גישה פרואקטיבית לאבטחת AI, ארגונים יכולים להגן על הנכסים הדיגיטליים הקריטיים שלהם ולמזער את הסיכון לניצול זדוני.
התוקפים יכולים לשבש קבצים שרירותיים ולהשיג הרצת קוד מרחוק מלאה
תוקפים יכולים לשבש מגוון רחב של קבצים במערכת
ניצול הפגיעות מאפשר לתוקפים לא רק לשבש קבצים שרירותיים במערכת, אלא גם להשיג שליטה מלאה מרחוק על המערכות הנפגעות. הם יכולים לעשות זאת על ידי שכתוב קובץ תצורה קריטי בשם etc/ld.so.preload, המשויך ל-dynamic linker ld.so. קובץ זה משמש לציון ספריות משותפות שיש לטעון לפני כל ספריה אחרת בעת הפעלת תוכנית.
על ידי הזרקת ספרייה זדונית לקובץ זה, התוקף יכול להבטיח שהקוד הזדוני שלו יופעל בכל פעם שתוכנית רצה במערכת שנפרצה. זה נותן לתוקף שליטה מלאה על המערכת ויכולת לבצע מגוון רחב של פעולות זדוניות, כולל גניבת נתונים רגישים, התקנת תוכנות ריגול, או אפילו הצפנת קבצים חיוניים ודרישת כופר.
תוקפים יכולים לגנוב מידע רגיש ונכסים אינטלקטואליים
תוקף שמצליח לנצל את הפגיעות הזו יכול לגנוב נתונים רגישים, כולל מפתחות API לשירותים כמו OpenAI, שלעתים קרובות מאוחסנים במשתני סביבה או בקובצי תצורה. כמו כן, הוא יכול לגשת ולהדליף קניין רוחני קנייני, כגון מודלי AI מותאמים אישית או קוד המקור של היישומים המשתמשים ב-Alama.
גניבת מפתחות API יכולה לאפשר לתוקף לבצע בקשות לא מורשות לשירותי AI יקרים, מה שעלול לגרום לחיובים כספיים משמעותיים לארגונים הנפגעים. בנוסף, הדלפת מודלים וקוד מותאמים אישית יכולה לפגוע ביתרון התחרותי של חברה ולהוביל לאובדן הכנסות פוטנציאליות.
הפגיעות חושפת פער אבטחה משמעותי בפריסה וניהול של תשתיות AI
גילוי הפגיעות ב-Alama מדגיש פער אבטחה משמעותי באופן שבו ארגונים מפרסים ומנהלים את תשתיות ה-AI שלהם. הוא מצטרף למגמה מטרידה יותר בעולם ה-AI והלמידה המכונה, שבו חברת אבטחת ה-AI, Protect AI, הזהירה לאחרונה מפני למעלה מ-60 ליקויי אבטחה המשפיעים על כלי AI ולמידת מכונה שונים בקוד פתוח.
המקרה של Alama ממחיש את העובדה שגם הטכנולוגיות החדשניות ביותר יכולות ליפול קורבן לפגיעויות קלאסיות. על ארגונים להיות ערניים לסיכונים הכרוכים בפריסת מערכות AI ולנקוט אמצעי אבטחה מתאימים. זה כולל הגבלת הגישה למופעי Alama, יישום מנגנוני אימות חזקים וניטור שוטף לאיתור פעילות חשודה.
רק על ידי אימוץ גישה פרואקטיבית לאבטחת AI, ארגונים יכולים להגן על הנכסים הדיגיטליים הקריטיים שלהם ולמזער את הסיכון לניצול זדוני. זה דורש השקעה בכלים, תהליכים ומומחיות מתאימים כדי לזהות ולתקן חולשות לפני שתוקפים מנצלים אותן. ללא צעדים אלה, ארגונים חושפים את עצמם לסיכון משמעותי של הפרות אבטחה הרסניות.
Project Naptime של Google משתמש ב-AI כדי לאתר אוטומטית פגיעויות במערכות מורכבות
Project Naptime של Google מנצל AI לאיתור אוטומטי של פגיעויות במערכות מורכבות
Google חשפה לאחרונה את Project Naptime, מסגרת פורצת דרך המנצלת את עוצמתם של מודלים לשוניים גדולים כדי לאוטומט ולשפר את חקר הפגיעויות. הפרויקט, שהושק ב-24 ביוני 2024, נועד לתת לחוקרי אבטחה אנושיים הפסקה מהעבודה הקשה, בזמן ש-AI עושה את העבודה.
בראש הפרויקט עומדים Sergy Glazov ו-Mark Brand מצוות Project Zero האליטה של Google. הם יצרו סוכן AI שלא רק סורק קוד, אלא חושב כמו חוקר אבטחה אנושי. ארכיטקטורת Naptime מתמקדת באינטראקציה בין סוכן AI לבין קוד מטרה.
Project Naptime משלב מגוון כלים מופעלי AI לחקר פגיעויות
Project Naptime הוא לא רק כלי אחד, אלא אוסף של רכיבים מופעלי AI הפועלים בהרמוניה מושלמת. הוא כולל דפדפן קוד המאפשר ל-AI לנווט בבסיסי קוד מורכבים, כלי Python היכול להריץ סקריפטים בסביבה מוגנת לצורך fuzzing, מנפה שגיאות שמשגיח על התנהגות תוכניות עם קלטים שונים, ומדווח העוקב אחר כל הפעולה.
הגאונות האמיתית של Project Naptime טמונה ביכולתו לנצל את ההתקדמויות האחרונות ביכולות הבנה והיסק קוד של LLMs. זה לא רק התאמת תבניות או מעקב אחר כללים מוגדרים מראש. מדובר ב-AI שיכול לחשוב באופן ביקורתי, לגבש השערות ולבדוק אותן באופן שיטתי, בדיוק כמו שאדם היה עושה.
Project Naptime מציג ביצועים מרשימים בזיהוי פגיעויות מאתגרות
Google טוענת ש-Naptime הוא בלתי תלוי במודל ובתשתית, כלומר הוא לא מוגבל למודל AI או תשתית ספציפיים. גמישות זו יכולה לשנות את חוקי המשחק, ולאפשר לחוקרים להתאים ולשפר את המערכת ככל שטכנולוגיות AI חדשות צצות.
על פי מדדי Cyber secAL2, סוויטת הערכה שפותחה על ידי Meta לכימות סיכוני אבטחת LLM, Naptime משאיר מודלי AI אחרים הרחק מאחור כשמדובר בזיהוי פגיעויות מסובכות כמו גלישות חוצץ ופגמי שחיתות זיכרון מתקדמים. למעשה, במבחנים של Google עצמה, Naptime השיג ציונים כמעט מושלמים בשחזור וניצול סוגי פגיעויות אלה, עם ציונים של 1.0 ו-0.76, לעומת 0.05 ו-0.24 בלבד עבור OpenAI GPT-4 Turbo. זו לא רק שיפור, זו קפיצת מדרגה ביכולת.
עם זאת, ההיבט המרגש ביותר של Project Naptime הוא הפוטנציאל שלו לשנות את פני חקר הפגיעויות. על ידי אוטומציה של משימות מייגעות ומתן לחוקרים אנושיים יותר זמן להתמקד בבעיות מורכבות, הוא יכול להאיץ משמעותית את קצב הגילוי והתיקון של פגיעויות.
