Tři kritické bezpečnostní chyby byly odhaleny v open-source nástroji nazvaném Picklescan, které by mohly útočníkům umožnit spustit libovolný kód načtením nedůvěryhodných PyTorch modelů, čímž by efektivně obešli ochranu tohoto nástroje.
Picklescan, vyvinutý a udržovaný Matthieu Maitrem (@mmaitre314), je bezpečnostní skener navržený k analýze Python pickle souborů a detekci podezřelých importů nebo volání funkcí před jejich spuštěním. Pickle je široce používaný formát serializace ve strojovém učení, včetně PyTorch, který tento formát využívá k ukládání a načítání modelů.
Pickle soubory však mohou představovat také obrovské bezpečnostní riziko, protože mohou být použity k automatickému spuštění libovolného Python kódu při jejich načtení. To vyžaduje, aby uživatelé a organizace načítali důvěryhodné modely nebo načítali váhy modelů z TensorFlow a Flax.
Problémy objevené společností JFrog v podstatě umožňují obejít skener, prezentovat skenované soubory modelů jako bezpečné a umožnit spuštění škodlivého kódu, což by mohlo připravit cestu pro útok na dodavatelský řetězec.
„Každá objevená zranitelnost umožňuje útočníkům obejít detekci malwaru v PickleScan a potenciálně provést rozsáhlý útok na dodavatelský řetězec distribucí škodlivých ML modelů, které skrývají neodhalitelný škodlivý kód,“ uvedl bezpečnostní výzkumník David Cohen.
Picklescan ve své podstatě funguje tak, že zkoumá pickle soubory na úrovni bytekódu a kontroluje výsledky proti seznamu známých nebezpečných importů a operací, aby označil podobné chování. Tento přístup, na rozdíl od whitelistingu, také znamená, že brání nástrojům v detekci jakéhokoli nového útočného vektoru a vyžaduje, aby vývojáři vzali v úvahu všechny možné škodlivé chování.
Identifikované chyby jsou následující:
CVE-2025-10155 (CVSS skóre: 9.3/7.8) – Zranitelnost obcházení přípony souboru, která může být použita k podkopání skeneru a načtení modelu při poskytnutí standardního pickle souboru s příponou související s PyTorch, jako je .bin nebo .pt
CVE-2025-10156 (CVSS skóre: 9.3/7.5) – Zranitelnost obcházení, která může být použita k deaktivaci skenování ZIP archivů zavedením chyby Cyclic Redundancy Check (CRC)
CVE-2025-10157 (CVSS skóre: 9.3/8.3) – Zranitelnost obcházení, která může být použita k podkopání kontroly nebezpečných globálních proměnných Picklescan, což vede ke spuštění libovolného kódu obejitím seznamu nebezpečných importů
Úspěšné zneužití výše uvedených chyb by mohlo útočníkům umožnit skrýt škodlivé pickle payloady v souborech používajících běžné PyTorch přípony, záměrně zavést CRC chyby do ZIP archivů obsahujících škodlivé modely nebo vytvořit škodlivé PyTorch modely s vloženými pickle payloady k obejití skeneru.
Po odpovědném zveřejnění 29. června 2025 byly tři zranitelnosti opraveny ve verzi Picklescan 0.0.31 vydané 9. září.
Tento vývoj přichází poté, co SecDim a DCODX popsaly další vysoce závažnou bezpečnostní chybu ve stejném nástroji (CVE-2025-46417, CVSS skóre: 7.5/7.1), která by mohla být zneužita k obejití seznamu blokovaných položek nástroje a umožnit škodlivým pickle souborům exfiltrovat citlivé informace prostřednictvím DNS při načtení modelu.
V hypotetickém útočném scénáři může útočník přepracovat legitimní Python moduly jako linecache a ssl ke čtení citlivých dat ze souborů jako „/etc/passwd“ pomocí „linecache.getline()“ a využít „ssl.get_server_certificate()“ k přenosu dat na doménu pod jejich kontrolou.
„Uniklý obsah se objeví v DNS záznamech. Skenování tohoto payloadu pomocí Picklescan 0.0.24 vrátí ‚žádné problémy nenalezeny‘, protože linecache a ssl nebyly na seznamu zakázaných položek,“ uvedla společnost SecDim.
Zjištění ilustrují některé klíčové systémové problémy, včetně spoléhání se na jediný skenovací nástroj, nesrovnalostí v chování zpracování souborů mezi bezpečnostními nástroji a PyTorch, čímž se bezpečnostní architektury stávají zranitelnými vůči útokům.
„AI knihovny jako PyTorch každým dnem rostou v komplexitě, zavádějí nové funkce, formáty modelů a cesty provádění rychleji, než se mohou přizpůsobit bezpečnostní skenovací nástroje,“ řekl Cohen. „Tato rozšiřující se propast mezi inovací a ochranou ponechává organizace vystavené vznikajícím hrozbám, které konvenční nástroje prostě nebyly navrženy předvídat.“
„Uzavření této propasti vyžaduje výzkumem podloženou bezpečnostní proxy pro AI modely, průběžně informovanou odborníky, kteří myslí jako útočníci i obránci. Aktivní analýzou nových modelů, sledováním aktualizací knihoven a odhalováním nových technik zneužití tento přístup poskytuje adaptivní, inteligencí řízenou ochranu proti zranitelnostem, na kterých nejvíce záleží.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
