Investigadores en ciberseguridad han revelado una grave vulnerabilidad de ejecución remota de código (RCE) en la plataforma de infraestructura de inteligencia artificial (IA) Ollama, utilizada para empaquetar, desplegar y ejecutar grandes modelos de lenguaje (LLM) localmente en dispositivos Windows, Linux y macOS. La vulnerabilidad, identificada como CVE-2024-37032 y apodada Probllama, fue descubierta por la empresa de seguridad en la nube Wiz y ya ha sido parcheada en la versión 0.1.34 de Ollama, lanzada el 7 de mayo de 2024.
Detalles de la Vulnerabilidad:
La vulnerabilidad surge de una validación insuficiente de entradas que provoca un fallo de recorrido de directorios, permitiendo a un atacante sobrescribir archivos arbitrarios en el servidor y, potencialmente, ejecutar código de manera remota. El ataque se lleva a cabo enviando solicitudes HTTP específicamente diseñadas al servidor API de Ollama, explotando el endpoint “/api/pull” para descargar un modelo desde el registro oficial o un repositorio privado.
Mediante este método, un atacante puede proporcionar un archivo de manifiesto del modelo malicioso con una carga útil de recorrido de directorios en el campo de resumen, corrompiendo archivos en el sistema y logrando la ejecución remota de código al sobrescribir un archivo de configuración (“etc/ld.so.preload”) del enlazador dinámico (“ld.so”) para incluir una biblioteca compartida maliciosa.
Impacto y Mitigación:
El riesgo de ejecución remota de código se reduce significativamente en instalaciones predeterminadas de Linux, ya que el servidor API se vincula a localhost. Sin embargo, en despliegues con Docker, el servidor API se expone públicamente y ejecuta con privilegios de root, lo que permite la explotación remota de esta vulnerabilidad.
La situación se agrava debido a la falta de autenticación en Ollama, permitiendo a un atacante explotar un servidor accesible públicamente para robar o manipular modelos de IA y comprometer servidores de inferencia de IA autohospedados. Se recomienda encarecidamente asegurar estos servicios utilizando middleware como proxies inversos con autenticación.
Wiz identificó más de 1,000 instancias de Ollama expuestas alojando numerosos modelos de IA sin ninguna protección. Es crucial que los administradores actualicen a la versión parcheada y tomen medidas de seguridad adicionales para mitigar estos riesgos.
Comentarios de los Expertos:
El investigador de seguridad Sagi Tzadik señaló la gravedad de esta vulnerabilidad en instalaciones de Docker, destacando la facilidad con la que puede ser explotada. “CVE-2024-37032 es una vulnerabilidad de ejecución remota de código fácil de explotar que afecta la infraestructura de IA moderna. A pesar de que el código es relativamente nuevo y está escrito en lenguajes de programación modernos, vulnerabilidades clásicas como el recorrido de directorios siguen siendo un problema”.
Contexto Adicional:
Este descubrimiento se suma a una serie de advertencias recientes sobre la seguridad en herramientas de IA/ML de código abierto. La empresa Protect AI identificó más de 60 defectos de seguridad en diversas herramientas de IA/ML, incluyendo problemas críticos que podrían llevar a la divulgación de información, acceso a recursos restringidos, escalada de privilegios y toma de control total del sistema.
La más grave de estas vulnerabilidades es CVE-2024-22476, una falla de inyección SQL en el software Intel Neural Compressor, que permite a los atacantes descargar archivos arbitrarios del sistema anfitrión y que fue solucionada en la versión 2.5.0.
Mantener la seguridad en la infraestructura de IA es esencial para proteger los datos y sistemas críticos de las organizaciones. Se recomienda a los administradores revisar y actualizar sus sistemas con prontitud, además de implementar medidas de seguridad adicionales para prevenir posibles ataques.