Критические уязвимости pickle в моделях Python: угроза безопасности ML

Киберугроза в экосистеме Python: уязвимость pickle и новые методы атак на модели машинного обучения

Недавние расследования выявили серьёзную угрозу безопасности, связанную с использованием модуля pickle в экосистеме Python, особенно в контексте моделей машинного обучения. Этот популярный инструмент сериализации, применяемый для сохранения и загрузки сложных объектов, содержит критическую уязвимость: при десериализации он может выполнять произвольный код. Хакеры всё активнее эксплуатируют эту слабость, внедряя в сериализованные файлы вредоносные команды, что создаёт серьёзные риски для информационной безопасности.

Уязвимость pickle и её практическое применение в атаках

Модуль pickle позволяет сохранять и восстанавливать объекты Python, но при этом не проверяет содержимое сериализованных данных, что даёт хакерам возможность запускать вредоносный код во время десериализации. Особенно это касается pth-файлов, используемых в PyTorch — одной из ведущих платформ для разработки ML-моделей.

Примером стала атака, выявленная на популярных платформах, таких как Hugging Face. Исследователи обнаружили вредоносные файлы моделей PyTorch, загруженные подозрительными учетными записями пользователей. После загрузки с помощью функции torch.load() происходило выполнение встроенных shell-команд, предназначенных для загрузки и запуска троянских программ удалённого доступа (RATs).

Механизм атаки и используемые инструменты

Особенность этих атак заключается в использовании shell-команд, которые автоматически загружают исполняемые файлы, используя curl или wget, и выполняют их напрямую в памяти, не сохраняя на диск. Это позволяет злоумышленникам обходить антивирусные системы и предотвращать обнаружение вредоносного ПО.

• В числе полезных нагрузок был обнаружен ELF-двоичный файл на базе Go, который устанавливала связь с управляющим сервером (C2), скрытым при помощи туннельной технологии Cloudflare.
• Использовался продвинутый сервер управления VShell C2, поддерживающий удалённое выполнение команд и передачу файлов для разных операционных систем.
• VShell C2, изначально созданный для red team операций, превратился в инструмент злоумышленников, позволяющий им проводить скрытные операции через зашифрованные web-сокеты.

Распространение и масштаб угрозы

Факт использования таких уважаемых репозиториев, как Hugging Face, подчёркивает тенденцию злоупотребления платформами искусственного интеллекта для распространения вредоносного ПО. Это связывает проблему уязвимостей в цепочках поставок программного обеспечения с растущим уровнем киберугроз.

Риск, связанный с десериализацией pickle-файлов из ненадёжных источников, огромен, поскольку он предполагает выполнение скрытого и зачастую трудноотслеживаемого вредоносного кода. Злоумышленники нередко используют такие инструменты, как Cobalt Strike и Metasploit, для расширения контроля над скомпрометированными системами.

Рекомендации для специалистов по безопасности

Эскалация подобных угроз подчёркивает необходимость:

• Расширенного анализа сериализованных файлов моделей с уровнем внимания, сопоставимым с анализом обычного программного кода.
• Разработки и внедрения безопасных методов сериализации и десериализации для ML-моделей.
• Мониторинга и контроля источников загрузки моделей, особенно при использовании открытых репозиториев и сторонних платформ.
• Обучения профессионалов в области кибербезопасности особенностям уязвимостей, связанных с ML и Python, и повышению их квалификации в этой области.

Взаимодействие машинного обучения и кибербезопасности продолжает развиваться, и только комплексный подход, включающий технические меры, обучение и мониторинг, поможет минимизировать риски, связанные с использованием сериализованных моделей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.