Hugging Face LeRobot-Schwachstelle ermöglicht unauthentifizierte RCE-Angriffe

Unsichere Pickle-Deserialisierung Laut dem detaillierten Proof-of-Concept, das öffentlicht wurde, liegt die Schwachstelle im asynchronen Inferenzmodul, das schwere Berechnungen an einen GPU-Server auslagert.

Die Komponenten PolicyServer und RobotClient verwenden das native Pickle-Modul , um Daten zu deserialisieren, die über nicht authentifizierte gRPC-Kanäle übertragen werden.

Da der gRPC-Server add_insecure_port() ohne Transport Layer Security (TLS) oder Authentifizierung verwendet, kann jeder mit Netzwerkzugriff direkt mit dem Dienst verbunden werden.

Durch das Senden einer bösartig erstellten

Durch das Senden einer bösartig erstellten serialisierten Nutzlast über RPC-Handler wie SendPolicyInstructions oder SendObservations können Angreifer eine automatische beliebige Codeausführung auslösen. Die bösartige Nutzlast wird während des pickle.loads()-Prozesses sofort ausgeführt, lange bevor das System jegliche Datentypvalidierung durchführt.

Die Ausnutzung dieser Schwachstelle erfordert keine Anmeldeinformationen und keine komplexen Angriffsketten. Da KI-Inferenzserver typischerweise mit erhöhten Systemprivilegien laufen, um teure GPU-Ressourcen und massive Datensätze zu verwalten, ist ein erfolgreicher Durchbruch verheerend.

Angreifer könnten die vollständige administrative Kontrolle über das Host-System erlangen. Sie können sich lateral im internen Netzwerk bewegen, maschinelles Lernmodelle korrumpieren, Hugging Face API-Schlüssel exfiltrieren und potenziell den physischen Betrieb angeschlossener Roboter sabotieren.

Die Schwachstelle betrifft aktiv LeRobot-Versionen bis

Die Schwachstelle betrifft aktiv LeRobot-Versionen bis 0.5.1. Die Sicherheitsforscher in dieser Codebasis: Hugging Face entwickelte das safetensors-Format ursprünglich speziell, um die schwerwiegenden Sicherheitsrisiken zu eliminieren, die mit der Pickle-Serialisierung verbunden sind.

Trotz der Schaffung der sicheren Alternative verwendeten die LeRobot-Entwickler das unsichere Pickle-Format aus Bequemlichkeit. Darüber hinaus entdeckte Chocapikk, dass der Quellcode # nosec-

Diese Kommentare wurden absichtlich platziert, um automatische Sicherheit-Linter-Warnungen zu unterdrücken, die die Schwachstelle während der Entwicklung korrekt erkannt hatten. Mitigationsstrategien Für LeRobot Version 0.6.0 ist ein permanenter Patch geplant, der pickle durch safetensors und JSON ersetzt.

Moegliche Anwendungen

Beschränken Sie den Netzwerkzugriff, um sicherzustellen, dass der LeRobot asynchrone Inferenzserver niemals unzuverlässigen Netzwerken oder dem öffentlichen Internet ausgesetzt ist.

Binden Sie den Server strikt an localhost und nicht an 0.0.0.0, um alle externen Verbindungsversuche zu blockieren.

Implementieren Sie starke API-Gateways, VPNs und Netzwerk-Firewalls, um eine strenge Authentifizierung zu erzwingen, bevor der Verkehr den gRPC-Port erreicht.

Sie uns auf

Sie uns auf

Der Beitrag Hugging Face LeRobot Vulnerability Enables Unauthenticated RCE Attacks erschien zuerst bei Cyber Security News.