Pesquisadores de segurança cibernética revelaram seis falhas de segurança na estrutura de inteligência synthetic (IA) de Ollama que poderiam ser exploradas por um ator mal-intencionado para realizar várias ações, incluindo negação de serviço, envenenamento de modelo e roubo de modelo.
“Coletivamente, as vulnerabilidades podem permitir que um invasor execute uma ampla gama de ações maliciosas com uma única solicitação HTTP, incluindo ataques de negação de serviço (DoS), envenenamento de modelo, roubo de modelo e muito mais”, disse Avi, pesquisador da Oligo Safety. Lumelsky disse em um relatório publicado na semana passada.
Ollama é um aplicativo de código aberto que permite aos usuários implantar e operar grandes modelos de linguagem (LLMs) localmente em dispositivos Home windows, Linux e macOS. Seu repositório de projetos no GitHub foi bifurcado 7.600 vezes até o momento.
Uma breve descrição das seis vulnerabilidades está abaixo –
- CVE-2024-39719 (pontuação CVSS: 7,5) – Uma vulnerabilidade que um invasor pode explorar usando /api/create um endpoint para determinar a existência de um arquivo no servidor (corrigido na versão 0.1.47)
- CVE-2024-39720 (Pontuação CVSS: 8.2) – Uma vulnerabilidade de leitura fora dos limites que poderia fazer com que o aplicativo travasse por meio do endpoint /api/create, resultando em uma condição DoS (corrigido na versão 0.1.46)
- CVE-2024-39721 (pontuação CVSS: 7,5) – Uma vulnerabilidade que causa esgotamento de recursos e, em última análise, um DoS ao invocar o endpoint /api/create repetidamente ao passar o arquivo “/dev/random” como entrada (corrigido na versão 0.1.34)
- CVE-2024-39722 (pontuação CVSS: 7,5) – Uma vulnerabilidade de passagem de caminho no endpoint api/push que expõe os arquivos existentes no servidor e toda a estrutura de diretórios na qual o Ollama está implantado (corrigido na versão 0.1.46)
- Uma vulnerabilidade que pode levar ao envenenamento do modelo por meio do endpoint /api/pull de uma fonte não confiável (sem identificador CVE, sem patch)
- Uma vulnerabilidade que pode levar ao roubo de modelo através do endpoint /api/push para um alvo não confiável (sem identificador CVE, sem patch)
Para ambas as vulnerabilidades não resolvidas, os mantenedores do Ollama recomendaram que os usuários filtrassem quais endpoints estão expostos à Web por meio de um proxy ou firewall de aplicativo da internet.
“O que significa que, por padrão, nem todos os endpoints devem ser expostos”, disse Lumelsky. “Essa é uma suposição perigosa. Nem todo mundo está ciente disso ou filtra o roteamento http para Ollama. Atualmente, esses endpoints estão disponíveis através da porta padrão do Ollama como parte de cada implantação, sem qualquer separação ou documentação para fazer backup.”
Oligo disse que encontrou 9.831 instâncias exclusivas voltadas para a Web que executam o Ollama, a maioria delas localizadas na China, EUA, Alemanha, Coreia do Sul, Taiwan, França, Reino Unido, Índia, Cingapura e Hong Kong. Um em cada quatro servidores voltados para a Web foi considerado vulnerável às falhas identificadas.
O desenvolvimento ocorre mais de quatro meses depois que a empresa de segurança em nuvem Wiz divulgou uma falha grave que afetou Ollama (CVE-2024-37032) que poderia ter sido explorada para obter execução remota de código.
“Expor o Ollama à Web sem autorização é o equivalente a expor o docker socket à Web pública, porque ele pode fazer add de arquivos e possui recursos de pull e push de modelo (que podem ser abusados por invasores)”, observou Lumelsky.
