Les outils d’IA ne sont pas exempts de faille de sécurité. Preuve en est la découverte par un chercheur d’une vulnérabilité critique de type RCE (exécution de code à distance)dans Ollama. Cette plateforme vise à simplifier le processus de conditionnement et de déploiement des modèles d'IA. Selon, l’éditeur en sécurité Wiz, en raison d’un manque de support d’authentification, elle est vulnérable à des attaques. Alerté par Wiz, Ollama a réagi rapidement en publiant une mise à jour de son service- la version 0.1.34 - exempte de la vulnérabilité CVE-2024-37032.

La faille a été corrigée le 8 mai, mais Wiz a attendu six semaines avant de rendre publiques ses conclusions. Dans un billet de blog technique, le fournisseur explique que la vulnérabilité a été découverte lors de l’évaluation de la plateforme pour héberger un projet interne en IA.

Exécution de code à distance

Lors de cette expérimentation, les experts ont constaté qu'il était possible d'utiliser une brèche de traversée de répertoire pour écraser des fichiers sur le serveur. Un examen plus approfondi a révélé que le bug, qui découle d'une validation d'entrée insuffisante, pouvait être renforcée pour une exécution complète de code à distance. « Dans les installations Docker, il est assez simple de l'exploiter et d'obtenir une exécution de code à distance, car le serveur fonctionne avec les privilèges root », a expliqué Sagi Tzadik, le chercheur de Wiz qui a découvert la vulnérabilité. Il avertit qu'un grand nombre d'instances Ollama exécutant une version vulnérable étaient exposées à Internet depuis le 10 juin. Dans les installations Linux par défaut, le serveur API de la plateforme est lié à l'hôte local, ce qui réduit le risque d'attaque.

Mais, dans les déploiements basés sur Docker, le serveur API est exposé publiquement et il est donc vulnérable aux attaques. Une analyse a permis d'identifier plus de 1 000 instances de serveur Ollama exposées, hébergeant de nombreux modèles d'IA, y compris des modèles privés non répertoriés dans le référentiel public d'Ollama. La plateforme est utilisée pour l'inférence d'IA auto-hébergée et prend en charge de nombreux modèles. Elle sert également de backend pour des projets d'IA communs tels que OpenWebUI, entre autres.

Prise de contrôle de serveurs d'inférence d'IA auto-hébergés

Selon Wiz, la faille est similaire à celle existante sur d'autres serveurs d'inférence, dont TorchServe et Ray Anyscale, découvertes au cours des 12 derniers mois. « Ces vulnérabilités pourraient permettre à des attaquants de prendre le contrôle de serveurs d'inférence d'IA auto-hébergés, de voler ou de modifier des modèles et de compromettre des applications d'IA », a ajouté le fournisseur. « Le problème critique ne vient pas seulement des vulnérabilités elles-mêmes, mais du manque inhérent de support d'authentification dans ces nouveaux outils ». Cette absence de prise en charge signifie qu'un attaquant pourrait accéder au système pour voler ou modifier des modèles d'IA.

Pire encore, une attaque réussie pourrait permettre à un pirate d’« exécuter du code à distance en tant que fonction intégrée », a expliqué Wiz. Le potentiel de nuisance est considérable. « Un attaquant pourrait faire fuiter secrètement des modèles privés, espionner les messages des utilisateurs, modifier leurs réponses, demander une rançon pour l'ensemble du système et même prendre pied dans le réseau interne. Une fois exploitée, la machine est compromise », a déclaré Sagi Tzadik.

Le défaut d'authentification crée un risque potentiel

« Le manque de maturité de cette catégorie de technologie invite à la prudence et doit inciter à déployer des contrôles de sécurité supplémentaires au-delà de l'application du correctif d'Ollama », a recommandé Wiz. Les installations de la plateforme devraient être isolées de l'Internet. Le projet « en est encore à ses débuts et ne prend pas en charge des fonctions de sécurité essentielles, comme l'authentification », a mis en garde M. Tzadik de Wiz. « Même avec la dernière version, les attaquants peuvent obtenir les modèles d'IA utilisés sur le serveur Ollama et les exécuter en exploitant la capacité de calcul de la victime.

« Nous conseillons l’usage d’un reverse proxy pour ajouter une couche d'authentification au-dessus d'Ollama ou de connecter ce dernier directement à l'application d'IA », a suggéré l'expert. « Les entreprises adoptent rapidement un tas de nouveaux outils et d’infrastructures d'IA pour acquérir un avantage concurrentiel. Malheureusement, des fonctions de sécurité courantes, comme l'authentification, sont à la traîne dans le développement de ces plateformes », a mis en garde Wiz.