AI プラットフォーム Ollama に脆弱性 CVE-2024-37032：リモート・コード実行の恐れ

Critical RCE Vulnerability Discovered in Ollama AI Infrastructure Tool

2024/06/24 TheHackerNews — オープンソースの AI インフラ・プラットフォーム Ollama に存在する、リモート・コード実行の脆弱性 CVE-2024-37032 に関する詳細情報が、クラウド・セキュリティ企業 Wiz により公開された。この Wiz が Probllama と命名する脆弱性は、2024年5月5日に情報が開示され、その後の 5月7日にリリースされた  Ollama 0.1.34 で対処されている。

Ollama とは、大規模言語モデル (LLM：large language models) を、ローカルの Windows／Linux／macOS デバイス上で、パッケージング／デプロイ／実行するためのサービスである。

そして脆弱性 CVE-2024-37032 は、不十分な入力検証に起因するパス・トラバーサルの欠陥である。その悪用に成功した攻撃者は、サーバ上の任意のファイルを上書きし、最終的にリモート・コード実行を行う可能性を手にする。

この脆弱性を悪用する前提として、特別に細工した HTTP リクエストを、Ollama API サーバに送信する必要がある。具体的には、API エンドポイント”/api/pull” を悪用して、ダイジェスト・フィールドにパス・トラバーサル・ペイロードを取り込んだ、悪意のモデル・マニフェスト・ファイルを提供する。”/api/pull” とは、公式レジストリ／プライベート・リポジトリから、モデルをダウンロードするために使用されるエンドポイントのことである。

この脆弱性が悪用された場合の影響は、システム上の任意のファイルの破損のみに留まらない。ダイナミック・リンカー “ld.so” に関連するコンフィグ・ファイル “etc/ld.so.preload” を上書きして、不正な共有ライブラリをインクルードし、任意のプログラムを実行する前に起動させることで、リモート・コード実行を可能にするという。

デフォルトの Linux では、API サーバが localhost にバインドされるため、リモート・コード実行のリスクはかなり軽減される。しかし、API サーバが公開されている Docker デプロイメントは、その限りではない。

Wiz のセキュリティ研究者である Sagi Tzadik は、「Docker のインストールでは、サーバが root 権限で実行され、デフォルトで ”0.0.0.0” をリッスンする。そのため、この脆弱性が、リモートから悪用される可能性が生じる」と説明している。

さらに問題を複雑にしているのは、Ollama の認証が欠如している点だ。そのため攻撃者は、一般にアクセス可能なサーバを悪用して AI モデルの窃取や改ざんがを達成し、セルフホスト型の AI 推論サーバを危険にさらす可能性を手にする。

一般的に見て、このようなサービスでは、認証付きのリバース・プロキシなどのミドルウェアを使用して、セキュリティを確保する必要がある。しかし Wiz による指摘は、何の保護もなく多数の AI モデルをホストしている、Ollama の公開されたインスタンスを、1,000 以上も発見したというものだ。

Sagi Tzadik は、「CVE-2024-37032 は、容易に悪用できるリモート・コード実行の脆弱性であり、最新の AI インフラに影響を与える。Ollama のコードベースは新しいものであり、最新のプログラミング言語で記述されているが、パス・トラバーサルのような古典的な脆弱性が、依然として問題となっている」と述べている。

その一方で、AI セキュリティ企業の Protect AI が発しているのは、様々なオープンソース AI/ML ツールに影響を与える、60以上のセキュリティ上の欠陥への警告である。

これらの脆弱性の中で最も深刻なものは、Intel Neural Compressor ソフトウェアに存在する、SQL インジェクションの脆弱性 CVE-2024-22476 (CVSS：10.0) である。この脆弱性の悪用に成功した攻撃者は、ホスト・システムから任意のファイルをダウンロードする可能性を手にする。ただし、この脆弱性は、バージョン 2.5.0 で対処されている。

このところ、AI/ML 系製品の脆弱性が増えてきて、常に一定量の情報が提供されている感じがします。直近では、2024/06/20 の「Nvidia Triton の深刻な脆弱性 CVE-2024-0087／0088 が FIX：PoC も公開！」や、2024/06/17 の「Deep Java Library の深刻な脆弱性 CVE-2024-37902 が FIX：システム乗っ取りの恐れ」などがあります。よろしければ、カテゴリ AI/ML を、ご参照ください。