Las herramientas de inteligencia artificial no están exentas de fallos de seguridad. Prueba de ello es el descubrimiento por parte de un investigador de una vulnerabilidad crítica de ejecución remota de código (RCE) en Ollama. Esta plataforma tiene como objetivo simplificar el proceso de empaquetado y despliegue de modelos de inteligencia artificial. Según el proveedor de seguridad Wiz, debido a la falta de soporte de autenticación, es vulnerable a ataques. Alertado por Wiz, Ollama reaccionó rápidamente publicando una actualización de su servicio -la versión 0.1.34- libre de la vulnerabilidad CVE-2024-37032.

La falla se solucionó el 8 de mayo, pero Wiz esperó seis semanas antes de hacer públicos sus hallazgos. En una publicación de blog técnicaEl proveedor explica que la vulnerabilidad se descubrió durante la evaluación de la plataforma para albergar un proyecto de inteligencia artificial interno.

Índice
  1. Ejecución remota de código
  2. Tomando el control de servidores de inferencia de IA alojados por uno mismo
  3. La falta de autenticación crea un riesgo potencial

Ejecución remota de código

Durante el experimento, los expertos descubrieron que era posible utilizar una vulnerabilidad de navegación de directorios para sobrescribir archivos en el servidor. Una investigación posterior reveló que el error, que se origina en una validación de entrada insuficiente, podría reforzarse para lograr una ejecución de código remota completa. "En las instalaciones de Docker, es bastante fácil explotar y lograr la ejecución de código remoto, porque el servidor se ejecuta con privilegios de root", explicó Sagi Tzadik, el investigador de Wiz que descubrió la vulnerabilidad. Advierte que una gran cantidad de instancias de Ollama que ejecutan una versión vulnerable han estado expuestas a Internet desde el 10 de junio. En las instalaciones predeterminadas de Linux, el servidor API de la plataforma está vinculado al host local, lo que reduce el riesgo de un ataque.

Sin embargo, en las implementaciones basadas en Docker, el servidor API está expuesto públicamente y, por lo tanto, es vulnerable a ataques. Un análisis identificó más de 1000 instancias de servidor Ollama expuestas, que alojan muchos modelos de IA, incluidos modelos privados que no figuran en el repositorio público de Ollama. La plataforma se utiliza para la inferencia de IA alojada en el propio servidor y admite muchos modelos. También sirve como backend para proyectos de IA comunes como OpenWebUI, entre otros.

Tomando el control de servidores de inferencia de IA alojados por uno mismo

Según Wiz, la falla es similar a otras que se han detectado en otros servidores de inferencia, incluidos TorchServe y Ray Anyscale, en los últimos 12 meses. “Estas vulnerabilidades podrían permitir a los atacantes tomar el control de servidores de inferencia de IA alojados en servidores propios, robar o modificar modelos y comprometer aplicaciones de IA”, añadió el proveedor. “El problema crítico no son solo las vulnerabilidades en sí, sino la falta inherente de soporte de autenticación en estas nuevas herramientas”. Esta falta de soporte significa que un atacante podría obtener acceso al sistema para robar o modificar modelos de IA.

Peor aún, un ataque exitoso podría permitir a un hacker “ejecutar código de forma remota como una función incorporada”, explicó Wiz. El potencial de daño es significativo. “Un atacante podría filtrar en secreto plantillas privadas, espiar los mensajes de los usuarios, modificar sus respuestas, exigir un rescate por todo el sistema e incluso obtener un punto de apoyo en la red interna. Una vez explotado, la máquina queda comprometida”, dijo Tzadik.

La falta de autenticación crea un riesgo potencial

“La inmadurez de esta clase de tecnología justifica cautela y debería impulsar la implementación de controles de seguridad adicionales más allá de la aplicación del parche Ollama”, recomendó Wiz. Las instalaciones de la plataforma deben estar aisladas de Internet. El proyecto “aún está en sus primeras etapas y no admite funciones de seguridad críticas, como la autenticación”, advirtió Tzadik de Wiz. “Incluso con la última versión, los atacantes pueden obtener los modelos de IA utilizados en el servidor Ollama y ejecutarlos explotando la capacidad de cómputo de la víctima”.

“Recomendamos utilizar un proxy inverso para añadir una capa de autenticación sobre Ollama o conectarlo directamente a la aplicación de IA”, sugirió el experto. “Las empresas están adoptando rápidamente un montón de nuevas herramientas e infraestructura de IA para obtener una ventaja competitiva. Desafortunadamente, las características de seguridad comunes, como la autenticación, se están quedando atrás en el desarrollo de estas plataformas”, advirtió Wiz.