AI Tensor Engine for ROCm (AITER) w wersji do 0.1.14 zawiera krytyczną podatność umożliwiającą nieuwierzytelnionym atakującym zdalne wykonanie kodu poprzez wysłanie złośliwego payloadu pickle do gniazda ZMQ SUB. Podatność jest szczególnie groźna, ponieważ payload jest wykonywany jednocześnie na każdym zdalnym węźle roboczym (worker) klastra.
▸ Pokaż oryginał (EN)
AI Tensor Engine for ROCm (AITER) through 0.1.14 contains an unauthenticated remote code execution vulnerability in the MessageQueue.recv() function within shm_broadcast.py that allows unauthenticated remote attackers to execute arbitrary code by sending a malicious pickle payload to a ZMQ SUB socket with no authentication, HMAC, or format validation. Attackers who can reach the writer XPUB endpoint on the cluster network or supply a forged Handle with an attacker-controlled remote_subscribe_addr can deliver a crafted pickle payload that executes arbitrary code simultaneously as the inference worker process on every remote reader worker.
Funkcja MessageQueue.recv() w pliku shm_broadcast.py deserializuje dane przychodzące przez gniazdo ZMQ SUB bez jakiejkolwiek weryfikacji uwierzytelnienia, sygnatury HMAC ani walidacji formatu. Atakujący, który może dotrzeć do endpointu writer XPUB w sieci klastra lub dostarczyć sfałszowany obiekt Handle z kontrolowanym przez siebie adresem remote_subscribe_addr, może przesłać spreparowany payload pickle. Biblioteka pickle języka Python z założenia umożliwia wykonanie dowolnego kodu podczas procesu deserializacji, co czyni ten wektor wyjątkowo niebezpiecznym. Złośliwy payload jest następnie wykonywany w kontekście procesu inference worker na każdym zdalnym węźle odczytującym dane.
Atakujący może zdalnie wykonać dowolny kod (RCE) bez jakiegokolwiek uwierzytelnienia, jednocześnie przejmując kontrolę nad wszystkimi węzłami roboczymi klastra, co może prowadzić do całkowitego naruszenia poufności, integralności oraz dostępności przetwarzanych danych i systemów.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (pull request dostępny pod adresem https://github.com/ROCm/aiter/pull/3170). Do czasu wdrożenia poprawki zaleca się izolację sieci klastra oraz zablokowanie dostępu do endpointów ZMQ XPUB/SUB z niezaufanych sieci za pomocą firewall lub reguł sieciowych.
AI Tensor Engine for ROCm (AITER) w wersjach od początku do 0.1.14 włącznie
Podatność dotyczy środowisk klastrowych GPU opartych na AMD ROCm, typowo wykorzystywanych do trenowania i inferencji modeli AI/ML. Zasięg ataku obejmuje jednocześnie wszystkie węzły robocze klastra, co znacząco zwiększa potencjalne straty.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAmd Aiter
APPAmd≤ 0.1.14
Powiązane podatności
Improper access control in System Management Mode (SMM) may allow an attacker to write to SPI ROM potentially ...
Improper input validation in the SMM Supervisor may allow an attacker with a compromised SMI handler to gain R...
A potential vulnerability was reported in Radeon™ Software Crimson ReLive Edition which may allow escalation ...
Insufficient input validation in the ASP (AMD Secure Processor) bootloader may allow an attacker with a compro...
Insufficient input validation of mailbox data in the SMU may allow an attacker to coerce the SMU to corrupt SM...