Principais vulnerabilidades identificadas

‍

Entre as vulnerabilidades mais graves estão dois problemas críticos que afetam o Lunary, um kit de ferramentas para modelos de linguagem grandes (LLMs):

‍

- CVE-2024-7474: Essa vulnerabilidadeIDOR (Insecure Direct Object Reference) permite que usuários autenticados visualizem ou excluam usuários externos, o que representa um risco de acesso não autorizado a dados e possível perda de dados, com uma pontuação CVSS de **9.1**.

- CVE-2024-7475: Uma vulnerabilidade de controle de acesso inadequado que permite que os invasores modifiquem as configurações de SAML, permitindo potencialmente o acesso não autorizado a informações confidenciais, também classificada como 9.1.

‍

Além disso, outra vulnerabilidade IDOR no Lunary (CVE-2024-7473) permite que os invasores manipulem os prompts do usuário alterando os parâmetros de solicitação, comprometendo ainda mais a segurança do usuário.

‍

O ChuanhuChatGPT é afetado por uma falha de passagem de caminho (CVE-2024-5982), que pode levar à execução arbitrária de código e à exposição de dados confidenciais, também com pontuação 9,1 na escala CVSS. 

‍

Na LocalAI, foram encontradas duas vulnerabilidades:

‍

- CVE-2024-6983: Essa falha permite a execução arbitrária de código por meio de uploads mal-intencionados de arquivos de configuração (CVSS 8.8).

- CVE-2024-7010: Uma vulnerabilidade de ataque de tempo que permite que os invasores adivinhem chaves de API válidas analisando os tempos de resposta do servidor (CVSS 7.5).

‍

Por fim, foi identificada uma falha de execução remota de código na Deep Java Library (DJL) devido a um bug de sobrescrita de arquivo arbitrário (CVE-2024-8396), com uma pontuação CVSS de 7,8.

‍

Implicações para os usuários

‍

A divulgação dessas vulnerabilidades ressalta a necessidade urgente de os usuários atualizarem suas instalações dessas ferramentas de IA/ML para as versões mais recentes, a fim de reduzir os riscos e proteger seus sistemas contra possíveis explorações.

‍

Além dessas descobertas, a Protect AI apresentou o Vulnhuntr, um analisador de código estático Python de código aberto que utiliza LLMs para identificar vulnerabilidades de dia zero em bases de código Python. Essa ferramenta analisa o código em segmentos gerenciáveis para detectar problemas de segurança com eficiência.

‍

Como as organizações dependem cada vez mais das tecnologias de IA e ML, a importância de medidas de segurança robustas não pode ser exagerada. O VScanner foi projetado para enfrentar esses desafios, fornecendo soluções abrangentes de varredura de vulnerabilidades. Ao integrar o VScanner à sua estrutura de segurança, você pode identificar e corrigir proativamente as vulnerabilidades antes que elas possam ser exploradas.

‍

VScanner não apenas aprimora sua postura de segurança, mas também garante a conformidade com as práticas recomendadas no desenvolvimento e na implantação de software. Com o aumento das ameaças direcionadas aos modelos de IA, o uso do VScanner pode ajudar a proteger seus aplicativos contra as vulnerabilidades destacadas em relatórios recentes.

‍

Ao ficar à frente das possíveis ameaças e empregar ferramentas de varredura eficazes, como o VScanner, as organizações podem proteger seus dados confidenciais e manter a confiança em suas soluções orientadas por IA.

‍

Fonte: [The Hacker News].

‍

#vscanner #segurança cibernética #AI

‍