ชุดช่องโหว่ร้ายแรงที่เรียกว่า 'ShellTorch' เครื่องมือให้บริการ TorchServe AI โอเพ่นซอร์สส่งผลกระทบต่อเซิร์ฟเวอร์ ข้อบกพร่องของ TorchServe ที่ค้นพบโดยทีมวิจัย Oligo Security สามารถนำไปสู่การเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตและการเรียกใช้โค้ดจากระยะไกล (RCE) บนอินสแตนซ์ที่มีช่องโหว่ ส่งผลกระทบต่อ TorchServe เวอร์ชัน 0.3.0 ถึง 0.8.1
ข้อบกพร่องแรกคือการกำหนดค่า API อินเทอร์เฟซการจัดการที่ไม่ได้รับการรับรองความถูกต้องซึ่งทำให้แผงเว็บถูกผูกไว้กับที่อยู่ IP 0.0.0.0 โดยค่าเริ่มต้นแทนที่จะเป็น localhost และเปิดเผยต่อคำขอภายนอกเนื่องจากอินเทอร์เฟซขาดการรับรองความถูกต้อง จึงอนุญาตให้ผู้ใช้ทุกคนเข้าถึงได้ไม่จำกัด
ปัญหาที่สองชื่อ CVE-2023-43654 คือการปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ระยะไกล (SSRF) ที่นำไปสู่การเรียกใช้โค้ดจากระยะไกล (RCE)แม้ว่า API ของ TorchServe จะมีรายการโดเมนที่อนุญาตสำหรับการดึงไฟล์การกำหนดค่าของโมเดลจาก URL ระยะไกล พบว่าโดเมนทั้งหมดได้รับการยอมรับตามค่าเริ่มต้น ซึ่งนำไปสู่ข้อบกพร่อง Server-Side Request Forgery (SSRF)
ช่องโหว่ที่สามชื่อ CVE-2022-1471 เป็นปัญหาการดีซีเรียลไลซ์ Java ที่นำไปสู่การเรียกใช้โค้ดจากระยะไกลเนื่องจากการดีซีเรียลไลซ์ที่ไม่ปลอดภัยในไลบรารี SnakeYAML ผู้โจมตีสามารถอัปโหลดโมเดลที่มีไฟล์ YAML ที่เป็นอันตรายเพื่อทริกเกอร์การเรียกใช้โค้ดจากระยะไกล
เมื่อผู้โจมตีสามารถเจาะเครือข่ายขององค์กรได้โดยการรันโค้ดบนเซิร์ฟเวอร์ PyTorch ผู้โจมตีสามารถใช้เป็นฐานตั้งหลักในการย้ายไปยังโครงสร้างพื้นฐานด้านข้างเพื่อเริ่มการโจมตีที่มีผลกระทบ โดยเฉพาะในกรณีที่ไม่มีข้อจำกัดที่เหมาะสมหรือการควบคุมมาตรฐาน
คำแนะนำ
รายละเอียดเพิ่มเติม : https://www.bleepingcomputer.com/news/security/shelltorch-flaws-expose-ai-servers-to-code-execution-attacks/
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว