Underc0de
Foros Generales => Noticias Informáticas => Mensaje iniciado por: AXCESS en Enero 17, 2024, 03:06:23 PM
(https://i.postimg.cc/GpfBcdVp/GPU.png) (https://postimages.org/)
Una nueva vulnerabilidad denominada 'LeftoverLocals' que afecta a las unidades de procesamiento de gráficos de AMD, Apple, Qualcomm e Imagination Technologies permite recuperar datos del espacio de memoria local.
Registrado como CVE-2023-4969, el problema de seguridad permite la recuperación de datos de GPU vulnerables, especialmente en el contexto de grandes modelos de lenguaje (LLM) y procesos de aprendizaje automático (ML).
LeftoverLocals fue descubierto por los investigadores de Trail of Bits, Tyler Sorensen y Heidy Khlaaf, quienes lo informaron en privado a los proveedores antes de publicar una descripción técnica.
Detalles de LeftoverLocals
La falla de seguridad surge del hecho de que algunos marcos de GPU no aíslan completamente la memoria y un kernel que se ejecuta en la máquina podría leer valores en la memoria local escritos por otro kernel.
Los investigadores de Trail of Bits, Tyler Sorensen y Heidy Khlaaf, quienes descubrieron e informaron sobre la vulnerabilidad, explican que un adversario solo necesita ejecutar una aplicación informática de GPU (por ejemplo, OpenCL, Vulkan, Metal) para leer los datos que un usuario dejó en la memoria local de la GPU.
"Al usarlos, el atacante puede leer los datos que la víctima ha dejado en la memoria local de la GPU simplemente escribiendo un núcleo de GPU que vuelca la memoria local no inicializada" - Trail of Bits
LeftoverLocals permite a los atacantes lanzar un 'escucha': un núcleo de GPU que lee desde la memoria local no inicializada y puede volcar los datos en una ubicación persistente, como la memoria global.
Si la memoria local no se borra, el atacante puede utilizar el oyente para leer los valores dejados por el "escritor", un programa que almacena valores en la memoria local.
La siguiente animación muestra cómo interactúan los programas de escritura y escucha y cómo estos últimos pueden recuperar datos del primero en las GPU afectadas.
(https://i.postimg.cc/jdTDq8gy/writer-process.gif) (https://postimg.cc/Wt9NX7P4)
Los datos recuperados pueden revelar información confidencial sobre los cálculos de la víctima, incluidas entradas, salidas, pesos y cálculos intermedios del modelo.
En un contexto de GPU multiinquilino que ejecuta LLM, LeftoverLocals se puede utilizar para escuchar las sesiones interactivas de otros usuarios y recuperar de la memoria local de la GPU los datos del proceso de "escritor" de la víctima.
Los investigadores de Trail of Bits crearon una prueba de concepto (PoC) para demostrar LeftoverLocals y demostraron que un adversario puede recuperar 5,5 MB de datos por invocación de GPU, según el marco de GPU.
En una AMD Radeon RX 7900 XT que alimenta el LLM llama.cpp de código abierto, un atacante puede obtener hasta 181 MB por consulta, lo que es suficiente para reconstruir las respuestas del LLM con alta precisión.
Impacto y remediación
Los investigadores de Trail of Bits descubrieron CVE-2023-4969 en septiembre de 2023 e informaron a CERT/CC para ayudar a coordinar los esfuerzos de divulgación y parcheo.
Se están realizando esfuerzos de mitigación, ya que algunos proveedores lo solucionaron, mientras que otros todavía están trabajando en una forma de desarrollar e implementar un mecanismo de defensa.
En el caso de Apple, el último iPhone 15 no se ve afectado y hubo correcciones disponibles para los procesadores A17 y M3, pero el problema persiste en las computadoras con tecnología M2.
AMD informó que los siguientes modelos de GPU siguen siendo vulnerables mientras sus ingenieros investigan estrategias de mitigación efectivas.
Qualcomm ha lanzado un parche a través del firmware v2.0.7 que corrige LeftoverLocals en algunos chips, pero otros siguen siendo vulnerables.
Imagination lanzó una solución en DDK v23.3 en diciembre de 2023. Sin embargo, Google advirtió en enero de 2024 que algunas de las GPU del proveedor todavía estaban afectadas.
Las GPU Intel, NVIDIA y ARM han informado que el problema de fuga de datos no afecta a sus dispositivos.
Trail of Bits sugiere que los proveedores de GPU implementen un mecanismo automático de borrado de memoria local entre llamadas al kernel, asegurando el aislamiento de los datos confidenciales escritos por un proceso.
Si bien este enfoque podría introducir cierta sobrecarga de rendimiento, los investigadores sugieren que la compensación está justificada dada la gravedad de las implicaciones de seguridad.
Otras posibles mitigaciones incluyen evitar entornos de GPU multiinquilino en escenarios críticos para la seguridad e implementar mitigaciones a nivel de usuario.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/amd-apple-qualcomm-gpus-leak-ai-data-in-leftoverlocals-attacks/