메타의 AI 프레임워크에서 중요한 보안 결함 발견

Image by standret, from Freepik

메타의 AI 프레임워크에서 중요한 보안 결함 발견

읽는 시간: 2 분

메타의 생성 AI를 위한 오픈 소스 프레임워크인 ‘라마 스택’에서 심각한 보안 취약점, CVE-2024-50050이 발견되었습니다.

급하신가요? 이런 주요 사실들을 빠르게 확인해 보세요!

  • 이 취약점, CVE-2024-50050은 신뢰할 수 없는 역직렬화 데이터를 통해 원격 코드 실행을 허용합니다.
  • 메타는 버전 0.0.41에서 Pydantic JSON 구현을 더 안전하게 패치하여 이 문제를 해결하였습니다.
  • 이 취약점은 그것의 공격 가능성으로 인해 CVSS 4.0에서 9.3 (치명적)의 점수를 받았습니다.

Oligo 연구팀이 공개한 이 결함은, 공격자들이 프레임워크를 사용하는 서버에서 원격으로 악성 코드를 실행할 수 있게 만들 수 있습니다. 직렬화된 데이터를 안전하지 않게 처리함으로 인해 발생한 이 취약점은 AI 개발 도구를 안전하게 유지하는 것이 어려운 지속적인 도전을 강조하고 있습니다.

메타가 2024년 7월에 소개한 Llama Stack은 메타의 Llama 모델을 기반으로 한 AI 어플리케이션의 개발 및 배포를 지원합니다. 연구팀은 이 시스템의 결함이 기본 서버에 있음을 설명하며, 이 서버는 파이썬의 pyzmq 라이브러리를 사용하여 데이터를 처리합니다.

recv_pyobj라는 특정 메소드는 파이썬의 불안정한 pickle 모듈로 자동으로 데이터를 처리합니다. 이로 인해 공격자들이 허가되지 않은 코드를 실행하는 해로운 데이터를 전송할 수 있게 됩니다. 연구자들은 네트워크에 노출될 경우, 기본 설정을 실행하는 서버들이 원격 코드 실행(RCE)에 취약해진다고 말합니다.

이러한 공격은 리소스 도난, 데이터 유출, 또는 AI 시스템에 대한 무단 제어를 초래할 수 있습니다. 이 취약점은 보안 회사 Snyk에 의해 10점 만점에 9.3점이라는 심각한 CVSS 점수를 부여받았지만, 메타는 이를 중간 정도의 심각성인 6.3으로 평가했습니다. 이는 Oligo의 보고서에 따른 것입니다.

Oligo 연구진은 오픈 소스 AI 프레임워크를 분석하면서 이 결함을 발견했습니다. Llama Stack의 인기가 급속도로 상승했음에도 불구하고—GitHub 별점이 몇 달 사이에 200개에서 6,000개 이상으로 늘었습니다—팀은 역직렬화에 대한 pickle의 위험한 사용을 지적했습니다. 이는 RCE 취약성의 흔한 원인입니다.

이 결함을 악용하기 위해서는 공격자들이 열려있는 포트를 스캔하고, 악의적인 객체를 서버에 보내, 역직렬화 과정에서 코드 실행을 유발할 수 있습니다. 메타의 Llama Stack 추론 서버에 대한 기본 구현은 특히 취약하게 작용했습니다.

메타는 2024년 9월 Oligo의 공개 이후 이 문제를 신속하게 해결했습니다. 10월에는 패치가 배포되어, 불안전한 피클 기반의 역직렬화를 더 안전하고, 타입 검증이 가능한 Pydantic 라이브러리를 사용하는 JSON 구현으로 대체했습니다. 사용자들은 시스템을 보호하기 위해 Llama Stack 버전 0.0.41이나 그 이상으로 업그레이드하기를 권장합니다.

pyzmq의 유지 관리자들은 Llama Stack에서 사용되는 라이브러리에서, 신뢰할 수 없는 데이터와 함께 recv_pyobj를 사용하는 것에 대한 경고를 문서에 업데이트했습니다.

이 사건은 소프트웨어에서 불안전한 직렬화 방법을 사용하는 위험성을 강조하고 있습니다. 개발자들은 안전한 대안에 의존하고 정기적으로 라이브러리를 업데이트하여 취약점을 완화하도록 권장됩니다. Llama Stack과 같은 AI 도구의 경우, 이러한 프레임워크가 계속해서 중요한 기업용 애플리케이션을 지원함에 따라 강력한 보안 조치가 여전히 중요합니다.

이 기사가 마음에 드셨나요? 평가해 주세요!
정말 싫습니다 별로 좋아하지 않습니다 괜찮습니다 꽤 좋습니다! 정말 좋습니다!

마음에 드셨다니 기쁩니다!

Trustpilot에 여러분의 의견을 남겨 주실 수 있으실까요? 리뷰는 WizCase에게 큰 힘이 됩니다. 감사합니다!

Trustpilot에 리뷰 남기기
0 0명의 사용자가 투표
제목
코멘트
피드백을 주셔서 감사합니다
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

댓글 달기

Loader
Loader 더 보기