Pesquisadores de segurança cibernética detalharam uma falha de segurança que afeta a plataforma de infraestrutura de inteligência synthetic (IA) de código aberto Ollama que poderia ser explorada para obter execução remota de código.
Rastreado como CVE-2024-37032, a vulnerabilidade recebeu o codinome Probllama pela empresa de segurança em nuvem Wiz. Após a divulgação responsável em 5 de maio de 2024, o problema foi resolvido na versão 0.1.34 lançada em 7 de maio de 2024.
Ollama é um serviço para empacotar, implantar e executar modelos de linguagem grandes (LLMs) localmente em dispositivos Home windows, Linux e macOS.
Basicamente, o problema está relacionado a um caso de validação de entrada insuficiente que resulta em uma falha de passagem de caminho que um invasor pode explorar para sobrescrever arquivos arbitrários no servidor e, em última análise, levar à execução remota de código.
A deficiência exige que o agente da ameaça envie solicitações HTTP especialmente criadas ao servidor API Ollama para uma exploração bem-sucedida.
Ele aproveita especificamente o endpoint da API “/api/pull” – que é usado para baixar um modelo do registro oficial ou de um repositório privado – para fornecer um arquivo de manifesto de modelo malicioso que contém uma carga útil de passagem de caminho no campo de resumo.
Esse problema pode ser abusado não apenas para corromper arquivos arbitrários no sistema, mas também para obter a execução remota de código, substituindo um arquivo de configuração (“and so on/ld.so.preload”) associado ao vinculador dinâmico (“ld.so”) incluir uma biblioteca compartilhada não autorizada e iniciá-la sempre antes de executar qualquer programa.
Embora o risco de execução remota de código seja reduzido em grande parte nas instalações padrão do Linux devido ao fato de o servidor API se vincular ao host native, esse não é o caso das implantações do docker, onde o servidor API é exposto publicamente.
“Este problema é extremamente grave nas instalações do Docker, já que o servidor é executado com privilégios de `root` e escuta `0.0.0.0` por padrão – o que permite a exploração remota desta vulnerabilidade”, disse o pesquisador de segurança Sagi Tzadik.
Para agravar ainda mais a situação, está a falta inerente de autenticação associada ao Ollama, permitindo assim que um invasor discover um servidor acessível ao público para roubar ou adulterar modelos de IA e comprometer servidores de inferência de IA auto-hospedados.
Isso também exige que tais serviços sejam protegidos por meio de middleware, como proxies reversos com autenticação. Wiz disse que identificou mais de 1.000 instâncias expostas de Ollama que hospedam vários modelos de IA sem qualquer proteção.
“CVE-2024-37032 é uma execução remota de código fácil de explorar que afeta a infraestrutura moderna de IA”, disse Tzadik. “Apesar da base de código ser relativamente nova e escrita em linguagens de programação modernas, vulnerabilidades clássicas como Path Traversal continuam sendo um problema.”
O desenvolvimento ocorre no momento em que a empresa de segurança de IA Shield AI alerta sobre mais de 60 defeitos de segurança que afetam várias ferramentas de IA/ML de código aberto, incluindo problemas críticos que podem levar à divulgação de informações, acesso a recursos restritos, escalonamento de privilégios e controle completo do sistema.
A mais grave dessas vulnerabilidades é a CVE-2024-22476 (pontuação CVSS 10.0), uma falha de injeção de SQL no software program Intel Neural Compressor que pode permitir que invasores baixem arquivos arbitrários do sistema host. Foi abordado na versão 2.5.0.
