Các nhà nghiên cứu an ninh mạng đã tiết lộ sáu lỗ hổng bảo mật trong nền tảng trí tuệ nhân tạo (AI) Ollama, có thể bị khai thác bởi các tác nhân độc hại để thực hiện các hành động khác nhau, bao gồm tấn công từ chối dịch vụ (DoS), làm hỏng mô hình, và đánh cắp mô hình.
“Oligo Security, nhà nghiên cứu Avi Lumelsky, cho biết trong một báo cáo được công bố tuần trước rằng, các lỗ hổng này có thể cho phép kẻ tấn công thực hiện một loạt hành động độc hại chỉ với một yêu cầu HTTP duy nhất, bao gồm tấn công DoS, làm hỏng mô hình, đánh cắp mô hình và nhiều hành động khác.”
Ollama là một ứng dụng mã nguồn mở cho phép người dùng triển khai và vận hành các mô hình ngôn ngữ lớn (LLM) cục bộ trên các thiết bị Windows, Linux và macOS. Kho dự án của nó trên GitHub đã được chia sẻ lại 7.600 lần cho đến nay.
Mô tả ngắn gọn về sáu lỗ hổng như sau:
- CVE-2024-39719 (Điểm CVSS: 7.5) – Lỗ hổng cho phép kẻ tấn công khai thác endpoint
/api/create
để xác định sự tồn tại của một tệp trên máy chủ (Đã sửa trong phiên bản 0.1.47). - CVE-2024-39720 (Điểm CVSS: 8.2) – Lỗ hổng đọc ngoài biên có thể khiến ứng dụng bị sập thông qua endpoint
/api/create
, gây ra tình trạng DoS (Đã sửa trong phiên bản 0.1.46). - CVE-2024-39721 (Điểm CVSS: 7.5) – Lỗ hổng gây cạn kiệt tài nguyên và cuối cùng là DoS khi gọi endpoint
/api/create
lặp đi lặp lại với tệp “/dev/random” làm đầu vào (Đã sửa trong phiên bản 0.1.34). - CVE-2024-39722 (Điểm CVSS: 7.5) – Lỗ hổng traversal đường dẫn trong endpoint
/api/push
tiết lộ các tệp và cấu trúc thư mục trên máy chủ mà Ollama được triển khai (Đã sửa trong phiên bản 0.1.46). - Một lỗ hổng có thể dẫn đến làm hỏng mô hình thông qua endpoint
/api/pull
từ nguồn không đáng tin cậy (Không có mã định danh CVE, chưa vá). - Một lỗ hổng có thể dẫn đến đánh cắp mô hình thông qua endpoint
/api/push
đến mục tiêu không đáng tin cậy (Không có mã định danh CVE, chưa vá).
Đối với hai lỗ hổng chưa được khắc phục, các nhà duy trì Ollama đã khuyến cáo người dùng nên lọc các endpoint được mở ra internet bằng cách sử dụng proxy hoặc tường lửa ứng dụng web.
Lumelsky cho biết: “Điều này có nghĩa là, theo mặc định, không phải tất cả các endpoint đều nên được mở. Đó là một giả định nguy hiểm. Không phải ai cũng nhận thức được điều đó hoặc lọc định tuyến http đến Ollama. Hiện tại, các endpoint này được mở thông qua cổng mặc định của Ollama trong mọi lần triển khai, mà không có sự tách biệt hoặc tài liệu hướng dẫn.”
Oligo cho biết họ đã tìm thấy 9.831 trường hợp duy nhất có giao diện internet chạy Ollama, trong đó phần lớn nằm ở Trung Quốc, Hoa Kỳ, Đức, Hàn Quốc, Đài Loan, Pháp, Anh, Ấn Độ, Singapore và Hồng Kông. Một trong bốn máy chủ đối diện với internet đã bị đánh giá là dễ bị tổn thương bởi các lỗ hổng đã được xác định.
Phát triển này xuất hiện hơn bốn tháng sau khi công ty an ninh đám mây Wiz tiết lộ một lỗ hổng nghiêm trọng ảnh hưởng đến Ollama (CVE-2024-37032) có thể bị khai thác để thực hiện mã từ xa.
“Việc mở Ollama lên internet mà không được cấp phép tương đương với việc mở socket docker ra internet công cộng, vì nó có thể tải lên tệp và có khả năng kéo và đẩy mô hình (có thể bị lạm dụng bởi kẻ tấn công),” Lumelsky lưu ý.
Nguồn: thehackernews
Đọc thêm:
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment