【CVE-2024-0129】NVIDIAのNeMoにパストラバーサルの脆弱性が発見、コード実行とデータ改ざんのリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
NVIDIAのNeMoにパストラバーサルの脆弱性
NeMoの脆弱性詳細
パストラバーサルについて
NeMoの脆弱性に関する考察
参考サイト

記事の要約

NVIDIAのNeMoにパストラバーサルの脆弱性が発見
不正な.tarファイル抽出によりコード実行とデータ改ざんが可能
r2.0.0rc0より前のバージョンが影響を受ける

NVIDIAのNeMoにパストラバーサルの脆弱性

NVIDIAは、機械学習フレームワークNeMoのSaveRestoreConnectorにおいて、パストラバーサルの脆弱性を2024年10月15日に公開した。不正な.tarファイルの抽出を介して攻撃者がコード実行やデータ改ざんを引き起こす可能性があることが判明している。^[1]

この脆弱性は【CVE-2024-0129】として識別されており、CVSSスコアは6.3でミディアムレベルの深刻度に分類されている。攻撃の成立には特権レベルが必要だがユーザーの介入は不要であり、複雑な攻撃条件も求められないことから、早急な対応が推奨されるだろう。

影響を受けるプラットフォームはWindows、MacOS、Linuxの全てのオペレーティングシステムに及んでおり、r2.0.0rc0より前のバージョンが対象となっている。NVIDIAはユーザーに対して最新バージョンへのアップデートを推奨しており、セキュリティ対策の強化に取り組んでいる。

NeMoの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-0129
影響を受けるバージョン	r2.0.0rc0より前のすべてのバージョン
影響を受けるプラットフォーム	Windows、MacOS、Linux
CVSSスコア	6.3（ミディアム）
攻撃の種類	パストラバーサル
想定される影響	コード実行、データ改ざん

NVIDIAのセキュリティ情報の詳細はこちら

パストラバーサルについて

パストラバーサルとは、Webアプリケーションやシステムの脆弱性を悪用してファイルシステム上の意図しないディレクトリにアクセスする攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

ディレクトリトラバーサルとも呼ばれる一般的な攻撃手法
../などの特殊文字列を使用して上位ディレクトリへアクセス
機密情報の漏洩やシステム制御の奪取につながる可能性

NeMoの脆弱性では、SaveRestoreConnectorにおける不適切な.tarファイル処理により、攻撃者が意図しないディレクトリへのアクセスを実現する可能性がある。この問題を悪用されると、システム上で任意のコードが実行される可能性や保存されているデータが改ざんされる危険性が存在している。

NeMoの脆弱性に関する考察

SaveRestoreConnectorの脆弱性は、機械学習モデルの保存と復元という基本的な機能に関わる問題であり、早急な対応が必要となっている。NVIDIAが迅速に脆弱性を特定し、修正版をリリースしたことは評価に値するが、機械学習フレームワークのセキュリティ管理の重要性を再認識させる機会となるだろう。

今後は機械学習モデルのセキュアな保存と復元に関する標準的なガイドラインの整備が求められる。特に、機械学習モデルの配布や共有が一般的となる中、ファイル操作に関連する脆弱性対策は優先度の高い課題となっており、業界全体での取り組みが期待されるだろう。

また、機械学習フレームワークの開発者は、ユーザーが安全にモデルを扱えるよう、より強固なセキュリティ機能の実装を進める必要がある。特に、ファイルシステムへのアクセス制御やユーザー認証の強化など、基本的なセキュリティ対策の見直しが重要となっている。