Llama Drama:AIアプリ開発用Pythonパッケージに重大な欠陥 システムやデータが侵害される恐れ(CVE-2024-34359) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Llama Drama:AIアプリ開発用Pythonパッケージに重大な欠陥 システムやデータが侵害される恐れ(CVE-2024-34359)

Threat Report

AI

Llama Drama

Lunar

Llama Drama:AIアプリ開発用Pythonパッケージに重大な欠陥 システムやデータが侵害される恐れ(CVE-2024-34359)

Yoshida

Yoshida

2024.05.20

5月18〜20日:サイバーセキュリティ関連ニュース

AIアプリケーション開発用Pythonパッケージに重大な欠陥 システムやデータが侵害される恐れ(CVE-2024-34359)

SecurityWeek – May 17, 2024

ある研究者が、AIアプリケーションの開発者が利用するPythonパッケージに、重大な脆弱性CVE-2024-34359が存在することを確認。その後Checkmarx社が自身のブログ記事で、この脆弱性とその影響について説明した。

CVE-2024-34359(名称は「Llama Drama」)は、主にHTMLを生成するために使われるJinja2と、AIモデルとPythonを統合するために使われるllama_cpp_pythonパッケージに関連している。llama_cpp_pythonはモデルのメタデータを処理するためにJinja2を使うが、このインスタンスに適切なセキュリティ対策がないため、テンプレートインジェクション攻撃が可能になっていたとのこと。攻撃者はこの脆弱性の悪用に成功すると、影響を受けるPythonパッケージ(llama_cpp_pythonの0.2.30以前および0.2.71以降のバージョン)を使うシステム上で任意のコードを実行する恐れがあるという。

攻撃リスクに晒される可能性があるのは、llama_cpp_pythonとJinja2を使っているHugging Face AIコミュニティ上の6,000以上のAIモデル。

なお、同脆弱性はllama_cpp_pythonのバージョン0.2.72で修正されているとのこと。

Turla APT、ヨーロッパの外務省に新たな2つのバックドアを仕掛ける

Security Affairs – May 17, 2024

ESETの研究者が、2つの新しいバックドア「Lunar malware」と「LunarMail」を使ってヨーロッパのある国の外務省を侵害する攻撃を観測。攻撃者はロシアとの関連が指摘されるTurla APTであろうと、中程度の確度で評価した。

これらのバックドアは標的のネットワークを長期的に侵害したり、データを抜き取ったり、侵害されたシステムで制御を維持したりすることを意図している。ESETの調査結果によると、これらのツールは遅くとも2020年から使われており、長い間検出を回避していたとのこと。

今回観測した侵害における初期アクセスはわかっていないものの、スピアフィッシングが行われたり、誤った設定のZabbix(統合システム監視ソフトウェア)が悪用された可能性があるという。

関連記事

Threat Report

Threat Report

AI

Llama Drama

Lunar

C2P:サイバー攻撃エコシステムを支える新たなキープレイヤー

Yoshida

Yoshida

2024.05.20

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ