
Peneliti cybersecurity telah mengungkapkan cacat keamanan kritis dalam platform pengembangan studio Lightning AI yang, jika berhasil dieksploitasi, dapat memungkinkan untuk eksekusi kode jarak jauh.
Kerentanan, menilai skor CVSS 9,4, memungkinkan “penyerang untuk berpotensi menjalankan perintah sewenang -wenang dengan hak istimewa root” dengan mengeksploitasi parameter URL tersembunyi, perusahaan keamanan aplikasi Noma mengatakan dalam sebuah laporan yang dibagikan dengan Hacker News.
“Tingkat akses ini secara hipotetis dapat dimanfaatkan untuk berbagai kegiatan jahat, termasuk ekstraksi kunci sensitif dari akun yang ditargetkan,” kata para peneliti Sasi Levi, Alon Tron, dan Gal Moyal.
Masalah ini tertanam dalam sepotong kode JavaScript yang dapat memfasilitasi akses yang tidak terkekang ke lingkungan pengembangan korban, serta menjalankan perintah sewenang -wenang pada target yang diautentikasi dalam konteks istimewa.
Noma mengatakan menemukan parameter tersembunyi yang disebut “perintah” di URL khusus pengguna-misalnya, “lightning.ai/profile_username/vision-model/studios/studio_path/terminal?fullscreen=true&command=cmvzc …”-yang dapat digunakan untuk lulus instruksi yang dikodekan base64 untuk dieksekusi pada host yang mendasarinya.

Lebih buruk lagi, celah dapat dipersenjatai untuk menjalankan perintah yang dapat mengeluarkan informasi penting seperti token akses dan informasi pengguna ke server yang dikendalikan oleh penyerang.
Eksploitasi kerentanan yang berhasil berarti bahwa hal itu dapat memungkinkan musuh untuk menjalankan perintah istimewa sewenang -wenang dan mendapatkan akses root, memanen data sensitif, dan memanipulasi sistem file untuk membuat, menghapus, atau memodifikasi file di server.

Semua penyerang perlu melakukan ini adalah pengetahuan sebelumnya tentang nama pengguna profil dan studio AI Lightning Associated mereka, detail yang tersedia untuk umum melalui galeri Template Studio.
Berbekal informasi ini, aktor ancaman kemudian dapat membuat tautan berbahaya sehingga memicu eksekusi kode di studio yang diidentifikasi di bawah izin root. Mengikuti pengungkapan yang bertanggung jawab pada 14 Oktober 2024, masalahnya telah diselesaikan oleh tim Lightning AI pada 25 Oktober.
“Kerentanan seperti ini menggarisbawahi pentingnya memetakan dan mengamankan alat dan sistem yang digunakan untuk membangun, melatih, dan menggunakan model AI karena sifat sensitif mereka,” kata para peneliti.