PyTorch લોગો
તાજેતરમાં એસહુમલા અંગે વિગતો જાહેર કરવામાં આવી હતી કે મશીન લર્નિંગ ફ્રેમવર્કના વિકાસમાં ઉપયોગમાં લેવાતા ઇન્ફ્રાસ્ટ્રક્ચરને નુકસાન થયું છે પાયટોર્ચ. જે ટેકનિકલ વિગતો બહાર આવી છે તેમાં ઉલ્લેખ છે કે હુમલાખોર એક્સેસ કી કાઢવામાં સફળ રહ્યો જે તમને GitHub અને AWS રીપોઝીટરીમાં મનસ્વી ડેટા મૂકવા, રીપોઝીટરીની મુખ્ય શાખામાં કોડ બદલવા અને નિર્ભરતા દ્વારા બેકડોર ઉમેરવાની મંજૂરી આપે છે.
આ ઘટના નોંધપાત્ર જોખમો ઉભા કરે છે, કારણ કે PyTorch આવૃત્તિઓના સ્પુફિંગનો ઉપયોગ Google, Meta, Boeing અને Lockheed Martin જેવી મોટી કંપનીઓ પર હુમલો કરવા માટે થઈ શકે છે, જેઓ તેમના પ્રોજેક્ટ્સમાં PyTorch નો ઉપયોગ કરે છે.
ચાર મહિના પહેલા, અદનાન ખાન અને મેં વિશ્વના અગ્રણી મશીન લર્નિંગ પ્લેટફોર્મ્સ પૈકીના એક, PyTorch માં ગંભીર CI/CD નબળાઈનો ઉપયોગ કર્યો હતો. ગૂગલ, મેટા, બોઇંગ અને લોકહીડ માર્ટિન જેવા ટાઇટન્સ દ્વારા ઉપયોગમાં લેવાય છે, પાયટોર્ચ હેકર્સ અને રાષ્ટ્ર-રાજ્યો માટે એકસરખું મુખ્ય લક્ષ્ય છે.
સદનસીબે, ખરાબ લોકોએ કર્યું તે પહેલાં અમે આ નબળાઈનો લાભ લીધો.
આ રીતે અમે તે કર્યું.
હુમલા અંગે જણાવાયું છે કે આ તે સતત એકીકરણ સર્વર્સ પર કોડ ચલાવવાની ક્ષમતા પર નીચે આવે છે જે રીપોઝીટરીમાં દબાણ કરાયેલા નવા ફેરફારોને ચકાસવા માટે પુનઃનિર્માણ કરે છે અને નોકરીઓ ચલાવે છે. આ સમસ્યા એવા પ્રોજેક્ટ્સને અસર કરે છે જે બાહ્ય "સેલ્ફ-હોસ્ટેડ રનર" ડ્રાઇવરોનો ઉપયોગ કરે છે GitHub ક્રિયાઓ સાથે. પરંપરાગત GitHub ક્રિયાઓથી વિપરીત, સ્વ-હોસ્ટેડ નિયંત્રકો GitHub ઈન્ફ્રાસ્ટ્રક્ચર પર ચાલતા નથી, પરંતુ તેમના પોતાના સર્વર પર અથવા વિકાસકર્તાઓ દ્વારા જાળવવામાં આવતી વર્ચ્યુઅલ મશીનો પર.
તમારા સર્વર્સ પર બિલ્ડ ટાસ્ક ચલાવવાથી તમે કંપનીના આંતરિક નેટવર્કને સ્કેન કરી શકો છો તે કોડના પ્રકાશનને ગોઠવી શકો છો, એન્ક્રિપ્શન કી અને ઍક્સેસ ટોકન્સ માટે સ્થાનિક FS શોધી શકો છો અને બાહ્ય સ્ટોરેજ અથવા ક્લાઉડ સેવાઓને ઍક્સેસ કરવા માટે પરિમાણો સાથે પર્યાવરણીય ચલોનું વિશ્લેષણ કરી શકો છો અને આ સાથે, આ ડ્રાઇવરો દ્વારા, હુમલાખોર તેમના પોતાના સર્વર પર સંકલન કાર્યોને ચલાવવામાં સક્ષમ હતા, જેણે તેમને એન્ક્રિપ્શન કી અને ઍક્સેસ ટોકન્સ શોધવા માટે કંપનીના આંતરિક નેટવર્કને સ્કેન કરવાની મંજૂરી આપી હતી.
PyTorch અને અન્ય પ્રોજેક્ટ્સમાં જે સેલ્ફ-હોસ્ટેડ રનરનો ઉપયોગ કરે છે, આ વિકાસકર્તાઓ બિલ્ડ જોબ ચલાવી શકે છેતમારા ફેરફારોની સમીક્ષા કર્યા પછી જ. જોકે, હુમલાખોર પહેલા એક નાનો ફેરફાર મોકલીને આ સિસ્ટમને બાયપાસ કરવામાં સફળ રહ્યો અને પછી, એકવાર સ્વીકારવામાં આવે, આપમેળે "સહયોગી" ની સ્થિતિ પ્રાપ્ત કરી જે તમને રીપોઝીટરી અથવા દેખરેખ સંસ્થા સાથે સંકળાયેલ કોઈપણ GitHub ક્રિયાઓ રનર પર્યાવરણમાં કોડ ચલાવવાની મંજૂરી આપે છે. હુમલા દરમિયાન, GitHub એક્સેસ કી અને AWS કીને અટકાવવામાં આવી હતી, જેનાથી હુમલાખોર ઈન્ફ્રાસ્ટ્રક્ચર સાથે ચેડા કરી શકે છે.
"ફાળો આપનાર" સ્થિતિની લિંકને બાયપાસ કરવી સરળ હોવાનું બહાર આવ્યું છે: તે પહેલા એક નાનો ફેરફાર સબમિટ કરવા માટે પૂરતું છે અને તેને કોડ બેઝમાં સ્વીકારવામાં આવે તેની રાહ જુઓ, જેના પછી વિકાસકર્તા આપમેળે સક્રિય સહભાગીની સ્થિતિ પ્રાપ્ત કરે છે. જેની પુલ વિનંતીઓ અલગ ચકાસણી વિના CI ઇન્ફ્રાસ્ટ્રક્ચરમાં ચકાસી શકાય છે. સક્રિય વિકાસકર્તા સ્થિતિ હાંસલ કરવા માટે, પ્રયોગમાં દસ્તાવેજીકરણમાં ટાઈપોને ઠીક કરવા માટે નાના કોસ્મેટિક ફેરફારોનો સમાવેશ કરવામાં આવ્યો હતો. PyTorch વર્ઝનના રિપોઝીટરી અને સ્ટોરેજની ઍક્સેસ મેળવવા માટે, "સેલ્ફ-હોસ્ટેડ રનર" માં કોડ એક્ઝિક્યુટ કરતી વખતે હુમલા દરમિયાન, બિલ્ડ પ્રક્રિયાઓમાંથી રીપોઝીટરીને ઍક્સેસ કરવા માટે ઉપયોગમાં લેવાતા GitHub ટોકનને અટકાવવામાં આવ્યું હતું (GITHUB_TOKEN એ લખવાની ઍક્સેસની મંજૂરી આપી હતી), તેમજ કારણ કે AWS કી બિલ્ડ પરિણામોને સાચવવામાં સામેલ છે.
જેમ કે, તેનો ઉલ્લેખ છે આ મુદ્દો PyTorch માટે વિશિષ્ટ નથી અને અન્ય મોટા પ્રોજેક્ટ્સને અસર કરે છે જે GitHub ક્રિયાઓમાં "સેલ્ફ-હોસ્ટેડ રનર" માટે ડિફોલ્ટ રૂપરેખાંકનોનો ઉપયોગ કરે છે.
આ ઉપરાંત, ક્રિપ્ટોકરન્સી, બ્લોકચેન, માઈક્રોસોફ્ટ ડીપસ્પીડ, ટેન્સરફ્લો અને અન્ય પ્રોજેક્ટ્સ પર સમાન હુમલાની શક્યતાનો ઉલ્લેખ કરવામાં આવ્યો છે, જેના સંભવિત ગંભીર પરિણામો આવી શકે છે. સંશોધકોએ બગ બાઉન્ટી પ્રોગ્રામ માટે 20 થી વધુ અરજીઓ સબમિટ કરી છે, જેમાં કેટલાંક લાખ ડોલરના પુરસ્કારોની માંગ કરવામાં આવી છે.
આખરે જો તમે છો તેના વિશે વધુ જાણવામાં રસ છે, તમે માં વિગતો ચકાસી શકો છો નીચેની કડી