NVIDIA Triton Bugs Let Unauthenticated Attackers Execute Code and Hijack AI Servers
2025/08/04 TheHackerNews — NVIDIA が提供する Windows/Linux 向けの Triton Inference Server (AI モデル用 OSS プラットフォーム) において、新たに発見された一連のセキュリティ脆弱性により、標的とされるサーバに乗っ取りの可能性が生じている。Wiz の研究者 Ronen Shustin と Nir Ohfeld は、2025年8月に公開したレポートの中で「これらの脆弱性が連鎖的に利用された場合には、未認証のリモート攻撃者によりサーバが完全に制御され、リモート・コード実行 (RCE) に到達する可能性がある」と述べている。
それぞれの脆弱性の詳細は、以下の通りである:
- CVE-2025-23319 (CVSS 8.1):Python バックエンドに存在する境界外書き込みの脆弱性。攻撃者が細工したリクエストを送信することで、境界外書き込みを引き起こす可能性がある。
- CVE-2025-23320 (CVSS 7.5):Python バックエンドに存在する脆弱性。攻撃者が極端に大きなリクエストを送信することで、共有メモリの制限を超える挙動を引き起こす可能性がある。
- CVE-2025-23334 (CVSS 5.9):Python バックエンドに存在する脆弱性。攻撃者がリクエストを送信することで、境界外読み取りを引き起こす可能性がある。
これらの脆弱性が悪用された場合には、情報漏洩/サービス拒否 (DoS)/データ改竄などの可能性が生じる。また、CVE-2025-23319 に関してはリモート・コード実行に至る恐れもある。これらの問題は、バージョン 25.07 において修正されている。
クラウド・セキュリティ企業 Wiz が指摘するのは、これら3件の欠陥が連鎖的に悪用されることで、単なる情報漏洩に留まらず、認証を必要としないサーバ全体への侵害にいたる可能性である。
PyTorch や TensorFlow といった主要な AI フレームワークから Python モデルへ向けて、推論リクエストを処理するために設計された Python バックエンドに、これらの問題は起因する。
Wiz による攻撃シナリオによると、攻撃者は最初に CVE-2025-23320 を悪用して、バックエンドの内部 IPC 共有メモリ領域に存在する、本来であれば非公開であるべきキー (完全かつ一意な名前) を漏洩させる。その後に、残りの2つの脆弱性を組み合わせることで、Triton 推論サーバの完全な制御に到達する可能性があるという。
研究者たちは、「これらの脆弱性は、AI/ML 環境において Triton を使用している組織にとって重大なリスクとなる。この攻撃が成功した場合には、貴重な AI モデルの窃取/機密データの漏洩/AI モデルの応答内容の改変になどに加え、ネットワーク内部への侵入の足掛かりにもなり得る」と述べている。
なお、2025年8月に NVIDIA が公開した、Triton Inference Server に関するセキュリティ情報には、上記以外にも以下の3 件の重大な脆弱性の修正が含まれている:
- CVE-2025-23310
- CVE-2025-23311
- CVE-2025-23317
これらの脆弱性も、リモート・コード実行/サービス拒否/情報漏洩/データ改竄などの深刻な影響を引き起こす可能性がある。
現時点では、これらの脆弱性が、実際に悪用された証拠は確認されていない。ただし、ユーザーに対して強く推奨されるのは、修正済みバージョンへの速やかなアップデートにより、最適な保護状態を維持することだ。
Triton Inference Server に関する記事ですが、主に Python バックエンドに存在する複数の脆弱性が問題となっています。特に、メモリ管理の不備により、境界外読み書きや共有メモリの不正利用が可能となり、これらを連鎖的に悪用することで、認証なしにリモートからサーバを制御できる危険性があると、この記事は報じています。ご利用のチームは、ご注意ください。よろしければ、NVIDIA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.