Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
B2B Daily · 27.4., 12:08 · sikkerhet

CVE-2026-33626: SSRF i LMDeploy ble utnyttet på 12 timer og gir tilgang til cloud-metadata

SYNOPSIS_GENERERT

Sårbarheten i LMDeploys load_image() lar angripere bruke modell-serveren som SSRF-primitiv mot 169.254.169.254 og interne tjenester, og første utnyttelse skjedde 12 timer og 31 minutter etter avsløringen.

Orca Securitys Igor Stepansky rapporterte CVE-2026-33626, en SSRF-sårbarhet i LMDeploys vision-language-modul med CVSS 7.5. Funksjonen load_image() i lmdeploy/vl/utils.py hentet vilkårlige URL-er uten å filtrere loopback, link-local eller RFC1918-adresser. Hele modell-serveren ble dermed et SSRF-verktøy: en bilde-URL i et inferens-kall kunne pivotere til 169.254.169.254 for AWS Instance Metadata Service, til 127.0.0.1 for interne admin-flater, eller mot 10.0.0.0/8.

Sysdig observerte en åtte minutter lang økt fra 103.116.72.119 som rakk over et bredt mål. Angriperen traff IMDS-endepunkter, enumererte Redis og MySQL, nådde et internt HTTP-admin-grensesnitt og brukte out-of-band DNS-callbacks til requestrepo.com for å bekrefte at blinde prober landet. Operatøren rullerte mellom modellene internlm-xcomposer2 og OpenGVLab/InternVL2-8B for å forvirre logging knyttet til én bestemt pipeline.

«Detaljerte sikkerhetsadvarsler kan nå fungere som deploy-playbooks for motstandere», skriver Sysdig om tempoet, der ingen offentlig PoC fantes da angrepet startet.

Mønsteret er det samme som rammet andre i samme uke: WordPress-pluginene Ninja Forms File Upload (CVE-2026-0740) og Breeze Cache (CVE-2026-3844) ble utnyttet før mange rakk å patche. For deg som kjører selvhostet inferens betyr 12-timers-vinduet at advisory-feed ikke lenger er en sikkerhetsmargin. Det er en startpistol.

Hva bør du gjøre?

  1. Oppgrader LMDeploy til siste versjon umiddelbart hvis du kjører 0.12.0 eller eldre.
  2. Whitelist URL-fetcher: blokker forespørsler til loopback, link-local, RFC1918 og metadata-endepunkter på reverse proxy.
  3. Aktiver IMDSv2 på AWS (eller tilsvarende på GCP/Azure) slik at metadata-tjenesten krever token-baserte forespørsel.
  4. Logg DNS-utgang fra inferens-noder. Out-of-band callbacks er det første tegnet på vellykket SSRF.
  5. Sett egress-begrensning på inferens-pods. Modell-servere trenger sjelden fri utgang til hele internett.

Bakgrunn

SSRF (Server-Side Request Forgery) lar en server lures til å hente ressurser på vegne av angriperen. Når serveren sitter i samme nettverk som metadata-tjenester, databaser og admin-flater, blir den en bro inn i tillitssonen din. KI-inferens-stacker er spesielt utsatt fordi de naturlig henter eksterne ressurser, bilder, videoer, dokument-URL-er, og dermed har innebygd URL-fetcher som angripere kan misbruke.

Åpne eksternt kildedokument
sikkerhetselvhostetlokale-modeller

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN