CVE-2025-23319: Цепочка уязвимостей в NVIDIA Triton Inference Server
#nvidia #CVE #python #cpp

В NVIDIA Triton Inference Server обнаружили критическую цепочку уязвимостей, которая позволяет полностью захватить AI-сервер без аутентификации. Проблема в Python backend - это компонент, который позволяет запускать ML-модели написанные на Python без необходимости писать C++ код.

Атака работает как домино: сначала утечка информации через ошибку, затем злоупотребление shared memory API, и в итоге - полный контроль над сервером.

Технические детали:
▪️CVE ID: CVE-2025-23319 (+ CVE-2025-23310, CVE-2025-23311)
▪️CVSS Score: 9.8/10 (Критический)
▪️Затронутые версии: все до релиза 25.07
▪️Статус фикса: исправлено 4 августа 2025

Механизм атаки в трех шагах:

Шаг 1: Утечка имени shared memory
Атакующий отправляет большой запрос, который вызывает исключение. В сообщении об ошибке сервер случайно раскрывает полное имя внутренней shared memory области: triton_python_backend_shm_region_4f50c226-b3d0-46e8-ac59-d4690b28b859

Шаг 2: Злоупотребление Shared Memory API
Triton предоставляет публичный API для работы с shared memory для оптимизации производительности. Проблема в том, что API не проверяет, принадлежит ли указанная область пользователю или это внутренняя память сервера. Атакующий регистрирует утекшее имя и получает read/write доступ к приватной памяти Python backend.

Шаг 3: Удаленное выполнение кода
Имея доступ к shared memory, атакующий может повредить структуры данных, содержащие указатели, или манипулировать IPC-сообщениями для достижения RCE.

Масштаб проблемы:
Triton Inference Server - это основа AI-инфраструктуры многих компаний. Сервер используется для развертывания ML-моделей в продакшене, обработки inference запросов и масштабирования AI-нагрузок. Компрометация такого сервера означает:
▪️Кражу дорогостоящих AI-моделей
▪️Манипуляции с ответами ИИ
▪️Доступ к конфиденциальным данным
▪️Плацдарм для lateral movement в сети

Как защититься:

Обновитесь до Triton 25.07 или новее. Это единственное надежное решение.

Если обновление невозможно:

# Ограничьте сетевой доступ к Triton
iptables -A INPUT -p tcp --dport 8000 -s trusted_network -j ACCEPT
iptables -A INPUT -p tcp --dport 8000 -j DROP

Проверка на уязвимость:

# Проверить версию Triton
docker exec triton-container tritonserver --version

# Поиск уязвимых контейнеров
docker ps | grep triton | grep -v "25.07\|25.08\|25.09"

Источники:
🔗NVIDIA Security Bulletin
🔗Wiz Research

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Ловите вкусные баги прошедшей недели
#CVE #RCE #DoS #React # React2Shell #RSC #WISE #cpp #Mattermost

➡️React2Shell / React Server Components (RSC) (CVE-2025-55182, CVSS 10.0) — небезопасная десериализация данных, передаваемых через проприетарный протокол Flight, используемый для связи между клиентом и серверными компонентами. Злоумышленник может отправить специально сформированный HTTP-запрос, содержащий манипуляции с цепочкой прототипов или инструкции по внедрению вредоносных объектов. Сервер React, пытаясь собрать компонент из этих данных, выполняет произвольный JavaScript-код в контексте процесса Node.js. PoC + PoC.

➡️C++ библиотека cpp-httplib (CVE-2025-66570, CVSS 10.0) — логическая ошибка обработки дублирующихся HTTP-заголовков. Метод получения значения заголовка (get_header_value) возвращает первое найденное вхождение ключа без проверки приоритета источника. Это позволяет атакующему внедрить в запрос собственные заголовки, которые библиотека считает и обработает раньше, чем добавленные доверенным reverse-proxy.


➡️Advantech WISE-DeviceOn (CVE-2025-34256, CVSS 10.0) ­— захардкоженный ключ (статичный HS512 HMAC) для подписи JWT-токенов аутентификации в серверной части ПО Advantech WISE-DeviceOn. Поскольку ключ одинаков для всех инсталляций, атакующий может самостоятельно сгенерировать валидный токен с правами root superadmin зная лишь формат токена и email жертвы.

➡️Mattermost (CVE-2025-12419, CVSS 9.9) — некорректная валидация параметра state при завершении аутентификации через протокол OpenID Connect (OIDC/OAuth). Из-за ошибки в логике связывания токена и сессии атакующий с учеткой с правами на создание команд (Team Creation) или администратора может манипулировать процессом OAuth-входа. Это позволяет подменить идентификатор жертвы и перехватить ее аккаунт без знания пароля. Github Advisory

➡️XWiki Remote Macros (CVE-2025-65036, CVSS 8.3) ­— уязвимость в плагине, используемом для миграции контента из Atlassian Confluence и позволяющем отображать динамические макросы. Проблема заключается в отсутствии проверки прав доступа при обработке макросов на details pages. Атакующий с правами на редактирование любой страницы или создание контента может внедрить вредоносный Velocity-скрипт, который будет выполнен сервером.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч