Kritische Schwachstellen in ML-Frameworks: JFrog analysiert Gefährdung für maschinelles Lernen

Maschinelles Lernen (ML) ist in der Softwareentwicklung unverzichtbar geworden und ermöglicht schnellere Erkennung, verbesserte Automatisierung und datenbasierte Anwendungen. Doch JFrogs jüngste Untersuchung legt eine Reihe von Schwachstellen in verbreiteten ML-Frameworks offen, die Unternehmen potenziellen Angriffen aussetzen. Die Analyse verdeutlicht, wie wichtig robuste Sicherheitsmaßnahmen beim Entwickeln und Betreiben von ML-Anwendungen sind. Die dokumentierten Schwachstellen betreffen die wichtigsten ML-Plattformen und machen deutlich, wie böswillige Akteure durch gezielte Angriffstechniken die Vertraulichkeit, Integrität und Verfügbarkeit produktiver ML-Systeme gefährden könnten.

Kritische Schwachstellen in PyTorch und TensorFlow

Die Open-Source-Bibliothek PyTorch enthält Schwachstellen wie CVE-2022-41978 und CVE-2023-43645, die es Angreifern ermöglichen, schädliche Daten einzuschleusen, Sicherheitsmaßnahmen zu umgehen und unbefugt auf Ressourcen zuzugreifen. Konkret ermöglicht CVE-2022-41978 Angreifern die Ausführung von Befehlen durch manipulierte Deserialisierung, indem während des Ladens des Modells schädlicher Code eingebracht wird, der die Integrität gefährdet. CVE-2023-43645 betrifft eine Path-Traversal-Schwachstelle im TorchServe-Server von PyTorch, durch die Dateien überschrieben oder beliebige Skripte auf dem Host-System ausgeführt werden könnten.

Auch TensorFlow weist kritische Sicherheitslücken auf, darunter CVE-2023-32457, die einen potenziellen Angriffsvektor für Modell-Deserialisierungs-Angriffe darstellt. Diese Schwachstelle erlaubt bösartig gestalteten TensorFlow-Modellen, eine Speicherbeschädigung herbeizuführen, was Systemabstürze oder die Ausführung nicht autorisierten Codes zur Folge haben kann. Das Risiko bei der Modell-Deserialisierung wird hier besonders deutlich: Unsachgemäß behandelte Daten in diesem essenziellen Prozess können als Einstiegspunkte dienen, um ML-Umgebungen zu kompromittieren.

Schwachstellen in ONNX und Bedrohungen der Lieferkette

Darüber hinaus weisen die Sicherheitsforscher auf Schwachstellen in ONNX-Modellen (Open Neural Network Exchange) hin. Durch uneingeschränkte Dateioperationen beim Laden des Modells könnte das System manipuliert werden, wodurch Angreifer auf Systemdateien zugreifen oder diese verändern können. Solche Schwachstellen bergen das Risiko unbefugter Datenzugriffe oder sogar einer vollständigen Kompromittierung des Systems.

Die Forscher beschreiben außerdem die Methoden, mit denen Angreifer die Sicherheitslücken ausnutzen können, und fokussieren dabei Bedrohungen für die Lieferkette von ML-Diensten. Durch Angriffe auf den Deserialisierungsprozess – ein wesentlicher Schritt beim Laden und Initialisieren von Modellen – kann bösartiger Code eingeschleust werden, der bei der Bereitstellung des Modells ausgeführt wird. Solche Angriffe haben das Potenzial, gesamte ML-Workflows zu beeinträchtigen und Schwachstellen entlang des Softwareentwicklungszyklus zu schaffen.

Fazit: Sicherheitsmaßnahmen im ML-Einsatz unverzichtbar

Die Analyse macht deutlich, dass Organisationen beim Einsatz von ML-Diensten auf signifikante Sicherheitsrisiken achten müssen. Die aufgedeckten Schwachstellen betonen die Notwendigkeit eines besonderen Fokus auf Modell-Deserialisierung und die Absicherung der Lieferkette. Da ML weiterhin viele Sektoren durchdringt, wird das Schließen dieser Sicherheitslücken entscheidend, um sensible Daten zu schützen und robuste, sichere ML-Umgebungen aufrechtzuerhalten. Unternehmen sollten deshalb konsequent auf DevSecOps-Praktiken setzen und sicherstellen, dass Sicherheitsmaßnahmen integraler Bestandteil der Bereitstellung und Verwaltung von ML-Modellen bleiben, um potenzielle Angriffsmöglichkeiten wirksam einzudämmen.

Die komplette Untersuchung des JFrog Security Research Teams finden Sie hier: https://jfrog.com/blog/machine-learning-bug-bonanza-exploiting-ml-services/