В коде опенсорсной ИИ-платформы Ollama был обнаружен и исправлен баг, получивший название Probllama. Эта проблема могла использоваться для удаленного выполнения кода.
Уязвимость CVE-2024-37032 или Probllama была найдена специалистами компании Wiz. Исследователи сообщили о баге разработчикам 5 мая 2024 года, и проблема была устранена в версии 0.1.34, выпущенной 7 мая 2024 года.
Ollama — это популярный инструмент для упаковки, деплоя и локального запуска больших языковых моделей (large language model, LLM) на устройствах под управлением Windows, Linux и macOS.
Как сообщают исследователи, обнаруженная уязвимость была связана с недостаточной проверкой ввода, что приводило обходу пути (path traversal), и в результате злоумышленник мог перезаписать произвольные файлы на сервере, что в конечном итоге приводило к удаленному выполнению кода.
Для успешной эксплуатации бага атакующему требовалось отправлять специально подготовленные HTTP-запросы на сервер API Ollama. В частности, уязвимость задействовала эндпоинт API /api/pull (используется для загрузки моделей из официального реестра или приватного репозитория), чтобы передать вредоносный файл манифеста, содержащий в поле digest полезную нагрузку, связанную с обходом пути.
Отмечается, что проблема могла использоваться не только для повреждения произвольных файлов в системе, но и для удаленного выполнения кода путем перезаписи файла конфигурации (etc/ld.so.preload), связанного с динамическим компоновщиком (ld.so), для включения в него вредоносной shared-библиотеки и последующего запуска этой библиотеки перед выполнением любой программы.
И если в стандартных установках Linux риск удаленного выполнения кода снижается за счет того, что сервер API привязывается к localhost, то в установках Docker, где сервер API находится в открытом доступе, все куда серьезнее.
«Эта проблема чрезвычайно опасна в установках Docker, поскольку сервер работает с привилегиями root и по умолчанию прослушивает 0.0.0.0, что позволяет удаленно эксплуатировать эту уязвимость», — пишут эксперты.
Ситуацию усугубляет и отсутствие аутентификации, присущее Ollama, что позволяет злоумышленникам использовать публично доступный сервер для кражи или модификации ИИ-моделей, а также компрометации self-hosted инференс серверов ИИ.
Аналитики Wiz предупреждают, что уже выявили более 1000 уязвимых экземпляров Ollama с многочисленными ИИ-моделями без какой-либо защиты.
«CVE-2024-37032 — это легко эксплуатируемая RCE, которая затрагивает современную ИИ-инфраструктуру. Хотя кодовая база относительно новая и написана на современных языках программирования, классические уязвимости, такие как path traversal, по-прежнему остаются актуальными», — заключают специалисты.
