(https://i.imgur.com/JERzIVJ.png)
Se ha descubierto una vulnerabilidad crítica en el modelo de lenguaje grande (LLM) Llama de Meta, que podría permitir a atacantes ejecutar código arbitrario en servidores de inferencia.
CVE-2024-50050: Detalles de la vulnerabilidad📌 Gravedad: 6.3 (CVSS), 9.3 (Snyk)
📌 Impacto: Ejecución remota de código (RCE) a través de deserialización insegura
📌 Componente afectado: Llama Stack, interfaz API para aplicaciones de inteligencia artificial
El fallo reside en la implementación de la API de inferencia en Python, que utiliza pickle para la serialización de datos. Dado que pickle permite la ejecución de código arbitrario, los atacantes pueden explotar esta falla enviando datos maliciosos a través de sockets ZeroMQ expuestos en la red.
🛑 "Si el socket ZeroMQ está expuesto, los atacantes pueden inyectar objetos maliciosos y lograr ejecución de código en el servidor host", advirtió el investigador de Oligo Security, Avi Lumelsky.
Meta lanza parche de seguridad para CVE-2024-50050✔️ Fecha de divulgación: 24 de septiembre de 2024
✔️ Corrección: 10 de octubre de 2024 (versión 0.0.41 de Meta Llama)
✔️ Solución: Sustitución de pickle por JSON para evitar la ejecución de código no autorizado
Además, se ha corregido el problema en pyzmq, la biblioteca de Python que interactúa con ZeroMQ.
Otras vulnerabilidades críticas en inteligencia artificial y LLM🔹 CVE-2024-3660 en Keras (TensorFlow) (CVSS 9.8): Uso inseguro del módulo marshal, permitiendo ejecución de código arbitrario.
🔹 Fallo de seguridad en ChatGPT de OpenAI: Mal manejo de solicitudes HTTP POST puede ser explotado para realizar ataques DDoS masivos.
🔹 Exposición de claves API en asistentes de código IA: Investigaciones revelan que asistentes de codificación basados en IA recomiendan credenciales inseguras, aumentando el riesgo de filtraciones.
"Los LLM están facilitando ataques más rápidos y precisos", señala Mark Vaitzman, investigador de Deep Instinct.
¿Cómo protegerse de vulnerabilidades en modelos de IA?✅ Actualizar a la versión más reciente de Meta Llama (0.0.41)
✅ Evitar exponer sockets ZeroMQ a redes públicas
✅ Revisar y reforzar la seguridad en APIs de inferencia
✅ Monitorear actividad sospechosa en servidores de IA
Las amenazas cibernéticas en inteligencia artificial están evolucionando, y la seguridad en LLMs como Llama, ChatGPT y TensorFlow es fundamental para mitigar riesgos de RCE, filtración de credenciales y ataques DDoS.
Fuente: https://thehackernews.com/