サイバーセキュリティ研究者たちは、オープンソースの人工知能(AI)インフラストラクチャプラットフォームであるOllamaに影響する、リモートコード実行(RCE)を可能にするセキュリティ上の脆弱性を詳細に説明しました。この脆弱性はCVE-2024-37032として追跡され、クラウドセキュリティ会社WizによってProbllamaと名付けられました。責任を持って開示された後、2024年5月5日に問題が特定され、バージョン0.1.34で2024年5月7日に対処されました。Ollamaは、Windows、Linux、macOSデバイス上でローカルに大規模言語モデル(LLM)をパッケージング、デプロイ、実行するためのサービスです。この問題の核心は、攻撃者がサーバー上の任意のファイルを上書きし、最終的にリモートコード実行につながる可能性のあるパストラバーサルの欠陥を悪用できる、不十分な入力検証に関連しています。この脆弱性を悪用するには、攻撃者が特別に作成されたHTTPリクエストをOllama APIサーバーに送信する必要があります。特に、公式レジストリまたはプライベートリポジトリからモデルをダウンロードするために使用されるAPIエンドポイント「/api/pull」を利用して、ダイジェストフィールドにパストラバーサルペイロードを含む悪意のあるモデルマニフェストファイルを提供します。この問題は、システム上の任意のファイルを破損させるだけでなく、動的リンカー(「ld.so」)に関連する設定ファイル(「etc/ld.so.preload」)を上書きして悪意のある共有ライブラリを含め、プログラムを実行する前に毎回起動することで、リモートでコード実行を取得するためにも悪用される可能性があります。デフォルトのLinuxインストールではAPIサーバーがlocalhostにバインドされているため、リモートコード実行のリスクは大幅に軽減されますが、DockerデプロイメントではAPIサーバーが公開されているため、このケースでは当てはまりません。セキュリティ研究者Sagi Tzadikは、「この問題はDockerインストールで非常に深刻であり、サーバーはデフォルトで`root`権限で実行され、「0.0.0.0」でリッスンしているため、この脆弱性のリモートでの悪用を可能にします」と述べました。さらに、Ollamaには本質的に認証が欠如しているため、攻撃者は公開されているサーバーを悪用してAIモデルを盗んだり改ざんしたり、自己ホスト型のAI推論サーバーを危険にさらすことができます。これは、認証を備えたリバースプロキシなどのミドルウェアを使用してそのようなサービスを保護する必要があります。Wizは、保護されていない多数のAIモデルをホストしている1,000以上のOllamaの露出インスタンスを特定しました。
【ニュース解説】
オープンソースの人工知能(AI)インフラストラクチャプラットフォームであるOllamaにおいて、リモートコード実行(RCE)を可能にする重大なセキュリティ上の脆弱性が発見されました。この脆弱性はCVE-2024-37032として追跡され、クラウドセキュリティ会社WizによってProbllamaと名付けられています。2024年5月5日に責任を持って開示された後、2024年5月7日にバージョン0.1.34で対処されました。
この問題の核心は、不十分な入力検証により、攻撃者がサーバー上の任意のファイルを上書きし、最終的にリモートコード実行につながる可能性のあるパストラバーサルの欠陥です。攻撃者は特別に作成されたHTTPリクエストをOllama APIサーバーに送信し、公式レジストリまたはプライベートリポジトリからモデルをダウンロードするために使用されるAPIエンドポイント「/api/pull」を利用して、ダイジェストフィールドにパストラバーサルペイロードを含む悪意のあるモデルマニフェストファイルを提供することで、この脆弱性を悪用します。
この脆弱性の悪用は、システム上の任意のファイルを破損させるだけでなく、動的リンカー(「ld.so」)に関連する設定ファイル(「etc/ld.so.preload」)を上書きして悪意のある共有ライブラリを含め、プログラムを実行する前に毎回起動することで、リモートでコード実行を取得するためにも使用される可能性があります。
特にDockerデプロイメントでは、APIサーバーがデフォルトで`root`権限で実行され、「0.0.0.0」でリッスンしているため、この脆弱性のリモートでの悪用が可能になります。さらに、Ollamaには本質的に認証が欠如しているため、攻撃者は公開されているサーバーを悪用してAIモデルを盗んだり改ざんしたり、自己ホスト型のAI推論サーバーを危険にさらすことができます。これは、認証を備えたリバースプロキシなどのミドルウェアを使用してそのようなサービスを保護する必要があります。
この脆弱性の発見と対処は、AIインフラストラクチャのセキュリティにおける重要な一歩ですが、同時にAI/MLツールにおけるセキュリティ上の欠陥が依然として存在することを示しています。このような脆弱性は、情報漏洩、制限されたリソースへのアクセス、権限昇格、そしてシステム全体の乗っ取りにつながる可能性があります。したがって、開発者とユーザーは、セキュリティパッチの適用、適切な認証メカニズムの実装、そしてシステムの定期的な監査を通じて、これらのリスクを軽減するための措置を講じる必要があります。
長期的には、AIインフラストラクチャのセキュリティを強化するための継続的な努力が必要です。これには、セキュリティのベストプラクティスの遵守、脆弱性の迅速な特定と修正、そしてコミュニティ全体でのセキュリティ意識の向上が含まれます。また、AI技術の進化に伴い、新たな脆弱性が発見される可能性があるため、セキュリティ研究者と開発者は、これらの技術の安全性を確保するために協力し続ける必要があります。
from Critical RCE Vulnerability Discovered in Ollama AI Infrastructure Tool.
