I ricercatori della sicurezza informatica hanno rivelato un difetto di sicurezza critico nel Lightning AI Studio La piattaforma di sviluppo che, se sfruttata con successo, potrebbe consentire l’esecuzione del codice remoto.
La vulnerabilità, valutata un punteggio CVSS di 9.4, consente agli aggressori di eseguire potenzialmente comandi arbitrari con privilegi di root “sfruttando un parametro URL nascosto, società di sicurezza delle applicazioni Noma disse In un rapporto condiviso con le notizie di Hacker.
“Questo livello di accesso potrebbe essere ipoteticamente sfruttato per una serie di attività dannose, inclusa l’estrazione di chiavi sensibili da resoconti mirati”, hanno affermato i ricercatori Sasi Levi, Alon Tron e Gal Moyal.
Il problema è incorporato in un pezzo di codice JavaScript che potrebbe facilitare l’accesso libero all’ambiente di sviluppo di una vittima, nonché eseguire comandi arbitrari su un obiettivo autenticato in un contesto privilegiato.
Noma ha detto di aver trovato un parametro nascosto chiamato “comando” negli URL specifici dell’utente-ad esempio, “lightning.ai/profile_username/vision-model/studios/studio_path/terminal?fullscreen=true&command=cmvzc …”-che potrebbe essere usato per passare un’istruzione codificata da base64 da eseguire sull’host sottostante.
Ancora peggio, la scappatoia potrebbe essere armonizzata per eseguire comandi in grado di esfiltrare le informazioni critiche come i token di accesso e le informazioni dell’utente a un server controllato dagli attaccanti.
Lo sfruttamento riuscito della vulnerabilità significa che potrebbe consentire a un avversario di eseguire comandi privilegiati arbitrari e ottenere l’accesso al root, raccogliere dati sensibili e manipolare il file system per creare, eliminare o modificare i file sul server.
Tutto ciò che un aggressore ha bisogno per farlo è una conoscenza preliminare del nome utente del profilo e del loro studio AI Lightning Related, dettagli che sono disponibile al pubblico tramite la galleria dei modelli di studio.
Armato di queste informazioni, l’attore di minaccia può quindi creare un collegamento dannoso in modo story da innescare l’esecuzione del codice sullo studio identificato in base alle autorizzazioni di radice. A seguito di una divulgazione responsabile del 14 ottobre 2024, il problema è stato risolto dal crew di AI Lightning a partire dal 25 ottobre.
“Le vulnerabilità come questi sottolineano l’importanza di mappare e proteggere gli strumenti e i sistemi utilizzati per la costruzione, la formazione e la distribuzione di modelli di intelligenza artificiale a causa della loro natura sensibile”, hanno affermato i ricercatori.
