Se han revelado tres graves fallos de seguridad en una utilidad de código abierto llamada Picklescan. Esta falla podría permitir que un atacante malicioso cargue un modelo de PyTorch que no sea de confianza y ejecute código arbitrario, evitando efectivamente las protecciones de la herramienta.
Picklescan, desarrollado y mantenido por Matthieu Maitre (@mmaitre314), es un escáner de seguridad diseñado para analizar archivos pickle de Python y detectar importaciones sospechosas y llamadas a funciones antes de que se ejecuten. Pickle es un formato de serialización ampliamente utilizado en el aprendizaje automático, incluido PyTorch, que utiliza este formato para guardar y cargar modelos.
Sin embargo, los archivos pickle pueden representar un riesgo importante para la seguridad porque pueden usarse para activar automáticamente la ejecución de código Python arbitrario cuando se cargan. Esto requiere que los usuarios y las organizaciones carguen modelos confiables o carguen pesos de modelos de TensorFlow y Flax.
El problema descubierto por JFrog esencialmente pasa por alto el escáner y marca los archivos de modelo escaneados como seguros, lo que permite que se ejecute código malicioso y potencialmente allana el camino para ataques a la cadena de suministro.
«Cada una de las vulnerabilidades descubiertas podría permitir a los atacantes evadir la detección de malware de PickleScan y realizar ataques a la cadena de suministro a gran escala mediante la distribución de modelos de aprendizaje automático maliciosos que ocultan código malicioso indetectable», dijo el investigador de seguridad David Cohen.
En esencia, Picklescan funciona inspeccionando archivos pickle a nivel de código de bytes y comparando los resultados con una lista de bloqueo de importaciones y operaciones peligrosas conocidas para señalar comportamientos similares. Este enfoque, a diferencia de la lista blanca, evita que las herramientas detecten nuevos vectores de ataque y también significa que los desarrolladores deben considerar todos los posibles comportamientos maliciosos.
Los defectos identificados son:
CVE-2025-10155 (Puntuación CVSS: 9.3/7.8): vulnerabilidad de omisión de extensión de archivo utilizada para debilitar los escáneres y cargar modelos cuando se entregan archivos pickle estándar con extensiones relacionadas con PyTorch como .bin o .pt. CVE-2025-10156 (Puntuación CVSS: 9.3/7.5): omisión de vulnerabilidad que se puede utilizar para deshabilitar el análisis de archivos ZIP mediante la introducción de verificación de redundancia cíclica (CRC) error CVE-2025-10157 (puntaje CVSS: 9.3/8.3): una vulnerabilidad de derivación que puede usarse para debilitar los controles globales inseguros de Picklescan. Se puede ejecutar código arbitrario omitiendo la lista de bloqueo de importaciones peligrosas.
La explotación exitosa de las fallas antes mencionadas podría permitir a un atacante ocultar cargas útiles de pickle maliciosas dentro de archivos usando extensiones comunes de PyTorch, introducir intencionalmente errores CRC en archivos ZIP que contienen modelos maliciosos o crear modelos de PyTorch maliciosos con cargas útiles de pickle integradas para evitar los escáneres.
Tras la divulgación responsable el 29 de junio de 2025, las tres vulnerabilidades se abordaron en la versión 0.0.31 de Picklescan, lanzada el 9 de septiembre.
Este desarrollo se produce cuando SecDim y DCODX detallan otra falla de seguridad de alta gravedad (CVE-2025-46417, puntuación CVSS: 7.5/7.1) en la misma utilidad. Esta falla podría ser aprovechada por un archivo pickle malicioso para eludir la lista de bloqueo de la herramienta y filtrar información confidencial a través de DNS al cargar un modelo.
En un escenario de ataque hipotético, un atacante podría reutilizar módulos legítimos de Python, como linecache y ssl, para leer datos confidenciales de archivos como ‘/etc/passwd’ usando ‘linecache.getline()’ y enviar esos datos a un dominio bajo su control usando ‘ssl.get_server_certificate()’.
«El contenido filtrado se registra en los registros de DNS. Cuando escaneamos esta carga útil con Picklescan 0.0.24, devuelve ‘No se encontraron problemas’ porque el caché de línea y SSL no estaban en la lista de denegados», dijo SecDim.
Los hallazgos apuntan a varios problemas sistémicos importantes, incluida la dependencia de una única herramienta de escaneo y las diferencias en el comportamiento de manejo de archivos entre las herramientas de seguridad y PyTorch, lo que hace que la arquitectura de seguridad sea vulnerable a los ataques.
«Las bibliotecas de inteligencia artificial como PyTorch se están volviendo más complejas cada día, con nuevas características, formatos de modelos y rutas de ejecución que se introducen más rápido de lo que las herramientas de escaneo de seguridad pueden adaptarse», dijo Cohen. «La creciente brecha entre innovación y protección expone a las organizaciones a nuevas amenazas que las herramientas tradicionales no pueden predecir».
«Reducir esta brecha requiere un proxy de seguridad modelado por IA, respaldado por investigaciones y continuamente informado por expertos que piensen tanto como atacantes como defensores. Al analizar proactivamente nuevos modelos, rastrear actualizaciones de bibliotecas y descubrir nuevas técnicas de explotación, este enfoque ofrece protección adaptativa basada en inteligencia contra las vulnerabilidades más importantes».
Source link
