CVE-2024-37902 (CVSS 10): Critical Flaw in Deep Java Library Opens Door to System Takeover
2024/06/17 SecurityOnline — ディープ・ラーニング・プロジェクト用の OSS フレームワークとして広く利用されている、Deep Java Library (DJL) に深刻な脆弱性 CVE-2024-37902 が発見された。この脆弱性は、DJL バージョン 0.28.0 未満に影響をおよぼすものであり、悪用に成功した攻撃者は、重要なシステム・ファイルを上書きし、侵害したシステムの制御を奪う可能性を手にする。
脆弱性の詳細
脆弱性 CVE-2024-37902 は、ディープ・ラーニング・モデルで使用されるファイルのコレクションである、アーカイブされたアーティファクトを、DJL が処理する方法に起因する。攻撃者は、絶対パスを持つファイルを、それらのアーティファクトに取り込むように細工できる。その結果として、攻撃者はシステムに対して、特定の場所にファイル群を配置するよう指示できるようになる。つまり、コンフィグ・ファイル/実行ファイルに加えて、コア OS コンポーネントなどを上書きする可能性を、攻撃者は手にすることになる。
悪用から生じる結果
DJL は、多くの Java ベースの AI/ML アプリケーションの基礎となっている。その人気と使いやすさから、悪用の格好の標的となっており、この脆弱性の深刻度 (CVSS:10) は、早急な対策の必要性を強調している。
悪用が成功すると、次のような結果が生じる可能性がある:
- 不正アクセス: 攻撃者は、本来アクセスできない機密データやシステムへのアクセスが可能となる。
- データ損失/破壊:重要なファイルが変更/削除され、業務に支障が生じるだけではなく、金銭的な損害を受ける可能性も生まれる。
- システムの乗っ取り:最悪の場合、攻撃者がシステム全体を掌握し、マルウェアの拡散や暗号通貨のマイニングなどの、悪意のある目的に使用する可能性がある。
誰が危険にさらされているのか?
DJL のバージョン 0.1.0~0.27.0 を使用している組織/個人は、すべてが危険にさらされている。以下のような対象が想定される:
- 開発者: DJL を使用して AI/ML アプリケーションを構築する開発者。
- 企業: データ分析/自動化などのタスクのために、本番環境で DJL を使用している企業。
- 研究者: DJL をプロジェクトに活用している学術機関や研究所。
緊急対応が必要
すれに DJL のメンテナたちは、バージョン 0.28.0 をリリースし、この脆弱性に対処している。さらに、Large Model Inference 機能を使用しているユーザー向けに、パッチを適用したコンテナ・イメージもリリースしている。システムを保護するために推奨されるのは、早急なアップグレードである。
詳細な手順と、パッチが適用されたコンテナ・バージョンについては、DJL の公式 GitHub リポジトリを参照してほしい。
DJL が広く使用されているため、この脆弱性が放置された場合には、重大な影響を生じる可能性があると、セキュリティ専門家たちは警告している。
広く利用される Deep Java Library (DJL) に脆弱性とのことですが、アーティファクトを保存するファイルの処理に起因する、ケアレスミスという感じがしてしまいます。先日に、ある OSS に詳しい人と話していて、フレームワークを利用することで、排除できる脆弱性も多いはずという結論にいたりました。話がそれてしまいましたが、よろしければ、カテゴリ AI/ML も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.