Los investigadores de ciberseguridad han descubierto una vulnerabilidad crítica de ejecución remota de código que afecta a los principales motores de inferencia de inteligencia artificial (IA), incluidos Meta, Nvidia, Microsoft y proyectos PyTorch de código abierto como vLLM y SGLang.
«Todas estas vulnerabilidades se remontan a la misma causa raíz: el uso peligroso y pasado por alto de ZeroMQ (ZMQ) y la deserialización de pickle de Python», dijo el investigador de Oligo Security, Avi Lumelsky, en un informe publicado el jueves.
El núcleo de este problema surge de un patrón llamado ShadowMQ. Este patrón propaga una lógica de deserialización insegura en varios proyectos como resultado de la reutilización del código.
La causa principal es una vulnerabilidad en el marco Llama Large Language Model (LLM) de Meta (CVE-2024-50050, puntuación CVSS: 6.3/9.3), que Meta parchó en octubre pasado. Específicamente, implicó el uso del método recv_pyobj() de ZeroMQ para deserializar los datos entrantes usando el módulo pickle de Python.
Esto, combinado con el hecho de que el marco expuso un socket ZeroMQ en la red, abre la puerta a un escenario en el que un atacante puede ejecutar código arbitrario enviando datos maliciosos para su deserialización. Este problema también se resuelve en la biblioteca Python pyzmq.
Luego, Oligo descubrió que el mismo patrón se repetía en otros marcos de inferencia, incluidos NVIDIA TensorRT-LLM, Microsoft Sarathi-Serve, Modular Max Server, vLLM y SGLang.
«Todos contenían patrones inseguros casi idénticos: deserialización de pickle sobre sockets TCP ZMQ no autenticados», dijo Lumelsky. «Los proyectos mantenidos por diferentes mantenedores y diferentes compañías cometieron el mismo error».
Oligo rastreó la causa del problema y descubrió que, al menos en algunos casos, era el resultado de copiar y pegar código directamente. Por ejemplo, aunque afirmamos que el archivo vulnerable SGLang está adaptado por vLLM, Modular Max Server toma prestada la misma lógica tanto de vLLM como de SGLang, perpetuando efectivamente las mismas fallas en todo el código base.
A los problemas se les han asignado los siguientes identificadores:
CVE-2025-30165 (puntuación CVSS: 8,0) – vLLM (problema no solucionado, pero se resuelve cambiando al motor V1 de forma predeterminada) CVE-2025-23254 (puntuación CVSS: 8,8) – NVIDIA TensorRT-LLM (solucionado en la versión 0.18.2) CVE-2025-60455 (puntuación CVSS: N/A) – Modular Max Server (solucionado) Sarathi-Serve (permanece sin parchear) SGLang (solución incompleta implementada)
Los motores de inferencia sirven como componentes críticos dentro de las infraestructuras de IA, y un compromiso exitoso de un solo nodo podría permitir a un atacante ejecutar código arbitrario en el clúster, aumentar privilegios, realizar robo de modelos e incluso eliminar cargas útiles maliciosas, como mineros de criptomonedas, para obtener ganancias financieras.
«Los proyectos avanzan a una velocidad increíble y es común pedir prestados componentes arquitectónicos a colegas», dijo Rumelsky. «Pero si la reutilización de código incluye patrones inseguros, los efectos rápidamente se extenderán en cascada».
La divulgación se produce después de que un nuevo informe de la plataforma de seguridad de inteligencia artificial Knostic descubriera que el nuevo navegador integrado de Cursor podría verse comprometido mediante técnicas de inyección de JavaScript, sin mencionar el aprovechamiento de extensiones maliciosas que facilitan la inyección de JavaScript para tomar el control de las estaciones de trabajo de los desarrolladores.
El primer ataque implica registrar un servidor de protocolo de contexto modelo (MCP) local fraudulento que elude los controles de Cursor, lo que permite al atacante reemplazar la página de inicio de sesión en el navegador con una página falsa, recopilar credenciales y filtrarlas a un servidor remoto bajo su control.
«Cuando un usuario descargó y ejecutó el servidor MCP usando el archivo mcp.json dentro de Cursor, se inyectó código en el navegador de Cursor, redirigiendo al usuario a una página de inicio de sesión falsa y robando las credenciales que se enviaron a un servidor remoto», dijo el investigador de seguridad Dor Munis.
Dado que el editor de código fuente impulsado por IA es esencialmente una bifurcación de Visual Studio Code, un atacante malicioso también podría crear una extensión maliciosa para inyectar JavaScript en el IDE en ejecución y realizar acciones arbitrarias, como marcar una extensión Open VSX que de otro modo sería benigna como «maliciosa».
«JavaScript que se ejecuta dentro del intérprete Node.js, ya sea introducido por una extensión, un servidor MCP o un mensaje o regla maliciosa, hereda inmediatamente los privilegios del IDE: acceso completo al sistema de archivos, la capacidad de modificar o reemplazar la funcionalidad IDE (incluidas las extensiones instaladas) y la capacidad de conservar el código que se vuelve a adjuntar después de los reinicios», dijo la compañía.
«Al ser posible la ejecución a nivel de intérprete, los atacantes pueden convertir los IDE en plataformas de distribución y extracción de malware».
Para combatir estos riesgos, es importante que los usuarios deshabiliten la funcionalidad de ejecución automática en el IDE, revisen las extensiones, instalen MCP Server de desarrolladores y repositorios confiables, revisen los datos y las API a las que accede el servidor, usen claves API con los privilegios menos necesarios y auditen el código fuente del servidor MCP para integraciones críticas.
Source link
