Логотип PyTorch
Недавно sстали известны подробности нападения что инфраструктура, используемая при разработке структуры машинного обучения, пострадала PyTorch. Среди раскрытых технических подробностей упоминается, что Злоумышленнику удалось извлечь ключи доступа что позволяло помещать произвольные данные в репозиторий GitHub и AWS, заменять код в главной ветке репозитория и добавлять бэкдор через зависимости.
Этот инцидент представляет значительные риски, поскольку подмена версий PyTorch может быть использована для атаки на крупные компании, такие как Google, Meta, Boeing и Lockheed Martin, которые используют PyTorch в своих проектах.
Четыре месяца назад мы с Аднаном Ханом воспользовались критической уязвимостью CI/CD в PyTorch, одной из ведущих мировых платформ машинного обучения. PyTorch, используемый такими титанами, как Google, Meta, Boeing и Lockheed Martin, является основной мишенью как для хакеров, так и для национальных государств.
К счастью, мы воспользовались этой уязвимостью раньше, чем это сделали злоумышленники.
Вот как мы это сделали.
Что касается нападения, то упоминается, что это Все сводится к возможности запуска кода на серверах непрерывной интеграции. которые выполняют перестройки и запускают задания для проверки новых изменений, помещенных в репозиторий. Эта проблема затрагивает проекты, использующие внешние драйверы Self-Hosted Runner. с действиями GitHub. В отличие от традиционных действий GitHub, автономные контроллеры работают не в инфраструктуре GitHub, а на собственных серверах или на виртуальных машинах, поддерживаемых разработчиками.
Запуск задач сборки на ваших серверах позволяет вам организовать выпуск кода, который может сканировать внутреннюю сеть компании, искать в локальной ФС ключи шифрования и токены доступа, а также анализировать переменные среды с параметрами для доступа к внешнему хранилищу или облачным сервисам и, таким образом, с помощью этих драйверов злоумышленник смог выполнить задачи компиляции на своих собственных серверах, что позволило ему сканировать внутреннюю сеть компании в поисках ключей шифрования и токенов доступа.
В PyTorch и других проектах, использующих Self-Hosted Runner, лос Разработчики могут запускать задания сборкиn только после того, как ваши изменения будут рассмотрены. Однако, злоумышленнику удалось обойти эту систему, сначала отправив незначительное изменение и затем, как только оно будет принято, автоматически получил статус «Сотрудник» что позволяло запускать код в любой среде GitHub Actions Runner, связанной с репозиторием или контролирующей организацией. В ходе атаки были перехвачены ключи доступа GitHub и ключи AWS, что позволило злоумышленнику скомпрометировать инфраструктуру.
Ссылку на статус «участник» оказалось легко обойти: достаточно сначала внести незначительное изменение и дождаться его принятия в кодовую базу, после чего разработчик автоматически получает статус активного участника. чьи пул-реквесты можно тестировать в CI-инфраструктуре без отдельной проверки. Для достижения статуса активного разработчика в эксперимент были включены небольшие косметические изменения по исправлению опечаток в документации. Для получения доступа к репозиторию и хранилищу версий PyTorch во время атаки при выполнении кода в «Self-Hosted Runner» был перехвачен токен GitHub, используемый для доступа к репозиторию из процессов сборки (GITHUB_TOKEN разрешал доступ на запись), а также в качестве ключей AWS, участвующих в сохранении результатов сборки.
Таким образом, упоминается, что эта проблема не характерна для PyTorch и затрагивает другие крупные проекты. которые используют конфигурации по умолчанию для «Self-Hosted Runner» в GitHub Actions.
Кроме того, упоминалась возможность подобных атак на криптовалюту, блокчейн, Microsoft Deepspeed, TensorFlow и другие проекты с потенциально серьёзными последствиями. Исследователи подали более 20 заявок на участие в программах вознаграждения за обнаружение ошибок в поисках вознаграждения в несколько сотен тысяч долларов.
наконец, если вы интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.