Cloud
NVIDIA Riva-Lücken: Risiken für Services
Fehlkonfigurationen in NVIDIA Riva-Installationen mit zwei Schwachstellen erzeugen neue Risiken eines nicht autorisierten Zugangs und Missbrauch oder Diebstahl von KI-Services. Wir beschreiben die Probleme und haben Best Practices zum Schutz davor.
Save to Folio
Zusammenfassung:
- Mehrere Unternehmen, die Riva in Cloud-Umgebungen einsetzen, haben exponierte NVIDIA Riva API-Endpunkte. Wir haben zwei Schwachstellen (CVE-2025-23242 und CVE-2025-23243) identifiziert, die zu dieser Gef?hrdung beitragen.
- Falsch konfigurierte Riva-Installationen erm?glichen unautorisierten Zugriff, so dass Angreifer GPU-Ressourcen und API-Schlüssel ohne Einschr?nkungen missbrauchen k?nnen. Exponierte APIs erh?hen zudem das Risiko von Datenlecks, Denial-of-Service (DoS)-Angriffen und Systemunterbrechungen.
- Unternehmen, die KI-gestützte Dienste mit propriet?ren Modellen betreiben, k?nnten dem Risiko des Diebstahls geistigen Eigentums ausgesetzt sein, insbesondere wenn ihre Modelle oder Inferenzdienste durch falsch konfigurierte APIs exponiert werden.
- Unternehmen sollten ihre Implementierungen überprüfen, insbesondere solche, die standardm??ige oder falsch konfigurierte Einstellungen in Cloud-Umgebungen verwenden.
Die Grafik-Chip-Familie stellt einen Durchbruch in der KI-Spracherkennung, -übersetzung und -synthese dar, der es Unternehmen erm?glicht, hochleistungsf?hige Modelle in verschiedene KI-Anwendungen wie Transkription, Sprachassistenten und Konversation zu integrieren.
Die Implementierung bringt jedoch neue und einzigartige Sicherheitsherausforderungen mit sich, denn der überhastete Einsatz modernster Spracherkennungsfunktionen kann Unternehmen Sicherheitsrisiken aussetzen. Die komplexe Bereitstellungsarchitektur und die komplizierten Schichten von KI-Modellen und APIs bieten eine gro?e Angriffsfl?che, die eine sorgf?ltige Prüfung erfordert.
Wir haben ein bedenkliches Sample von exponierten NVIDIA Riva API Endpunkten in Cloud-Umgebungen mehrerer Unternehmen entdeckt. Diese Instanzen sind ein Beispiel für Sicherheitslücken, da sie ohne Authentifizierungsschutz arbeiten und für jeden potenziellen Angreifer zug?nglich sind.
Diese Probleme würden es jedem erm?glichen, kostenlos auf Riva-Dienste zuzugreifen, z.B. auf teure Hardware-Ressourcen und kostenpflichtige API-Schlüssel. Eine weitere Konsequenz ist die Offenlegung von Informationen über die zugrunde liegenden Dienste, was sie anf?llig für Denial-of-Service (DoS) und Speicherangriffe gegen den Triton Inference Server macht, wenn eine fortschrittliche Konfiguration angewendet wird.
Wir haben (CVE-2025-23242 und CVE-2025-23243) entdeckt, die erheblich zu der Exponierung beitragen. Dem verantwortungsvollen Ver?ffentlichungsprozess gem?? und in Zusammenarbeit mit der wurden die Lücken geschlossen und unter und publik gemacht.
Um diese Schwachstellen zu verstehen, sollte mit dem begonnen und ein NGC Kommandozeilenprogramm heruntergeladen werden. Das Initialisierungsskript l?dt die erforderlichen Container-Images und KI-Modelle aus der NVIDIA Artifact Registry herunter.
Bild 1. Die NVIDIA Riva Pipeline (Quelle: NVIDIA)
Sobald die Initialisierung abgeschlossen ist, kann man den Riva-Dienst mit dem Befehl ?bash riva_start.sh“ starten. Danach wartet der Riva-Server auf gRPC-Verbindungen über Port 50051. Die zugrunde liegende Implementierung kann aufgrund der Verwendung von Bibliotheken von Drittanbietern verborgen bleiben. Sie dient als praktisches Komplettpaket und sofort einsatzbereite L?sung für komplexe Software. Mehrere exponierte Ports vom Container zum Host sind ge?ffnet und lauschen auf 0.0.0.0 (alle IP-Adressen). Diese Netzwerkeinstellung ist ohne Firewall-Einstellungen für alle zug?nglich.
Das Riva gRPC-API-Protokoll wird mit aktivierter gRPC-Reflexion ausgeliefert, sodass jeder den Typ des Dienstes identifizieren und das bin?re Protokoll rekonstruieren kann. Dies ist an sich kein Problem, doch wenn es offen zug?nglich ist, vereinfacht es die Identifizierung des Dienstes.
Es stellt sich die Frage, ob diese gRPC-Endpunkte gesichert werden k?nnen. Selbst wenn alle Zertifikatparameter in der Datei ?config.sh“ aus dem NVIDIA QuickStart-Paket angegeben sind, erzwingt der gRPC-Server jedoch nur eine TLS/SSL-Verbindung und verschlüsselt den Datenverkehr zwischen dem Client und dem Server. Das bedeutet, dass man überprüfen kann, ob der Server tats?chlich der ist, für den er sich ausgibt. Allerdings überprüft niemand den Client, und jeder kann den Dienst nutzen! Dieses Verhalten kann ein falsches Gefühl der Sicherheit vermitteln, w?hrend die Dienste für jedermann zug?nglich sind.
Der Riva-Server kommuniziert intern mit dem . Er übersetzt API-Anfragen lediglich in eine Sprache, die der Triton Inference Server versteht. Diese Ports geben aufgrund der Container-Konfiguration die Bin?rdatei des Triton Inference Servers frei. Dadurch sind die für alle verfügbar. Selbst wenn der gRPC-Endpunkt des Riva-Servers erfolgreich gesichert ist, k?nnte er durch die ?bersetzung der Anfragen an die Triton-Inference-Server-Endpunkte vollst?ndig umgangen werden. Insbesondere einige der Endpunkte stellen ein erhebliches Sicherheitsrisiko dar, wenn der Triton Inference Server mit erweiterten Einstellungen konfiguriert ist, da sie inh?rente Schwachstellen und zuvor aufdecken k?nnten. In Erweiterung unserer früheren Untersuchungen haben wir 54 eindeutige IP-Adressen mit offengelegten NVIDIA Riva-Diensten gefunden, die alle zu mehreren Cloud-Dienstanbietern geh?ren.
Best Practices und Empfehlungen
Wir empfehlen allen Administratoren von Riva-Diensten, ihre Konfiguration zu überprüfen und sicherzustellen, dass sie die neueste Version des Riva-Frameworks verwenden. Zus?tzlich zu NVIDIAs Best Practices sollten Sie die folgenden Sicherheitsma?nahmen in Betracht ziehen:
- Implementieren Sie ein sicheres API-Gateway und geben Sie nur die vorgesehenen gRPC- oder REST-API-Endpunkte frei. Dies verhindert unbefugten Zugriff und schützt die Backend-Dienste.
- Wenden Sie eine Netzwerksegmentierung an, indem Sie den Zugriff auf den Riva Server und den Triton Inference Server auf vertrauenswürdige Netzwerke beschr?nken. Dies hilft, die Angriffsfl?che zu minimieren und verhindert unbefugten Zugriff aus dem Internet.
- Setzen Sie auf starke Authentifizierungsmechanismen und eine rollenbasierte Zugriffskontrolle, um sicherzustellen, dass nur autorisierte Benutzer und Dienste mit Riva APIs interagieren k?nnen. Ziehen Sie Zero-Trust-Ans?tze in Betracht, wie z.B. identit?tsbasierten Zugriff, um sicherzustellen, dass nur authentifizierte und autorisierte Benutzer und Ger?te mit Riva-Diensten interagieren k?nnen.
- ?berprüfen und modifizieren Sie die Container-Einstellungen, um unn?tige Dienste zu deaktivieren, ungenutzte Ports zu entfernen und die privilegierte Ausführung einzuschr?nken. Dies verhindert, dass Angreifer exponierte Dienste oder Fehlkonfigurationen ausnutzen k?nnen.
- Aktivieren Sie die Protokollierung und ?berwachung von Riva und Triton Inference Server, um ungew?hnliche Zugriffsmuster, verd?chtige Aktivit?ten oder m?glichen Missbrauch zu erkennen.
- Ziehen Sie eine Drosselung von API-Anfragen in Betracht, insbesondere wenn gRPC- oder REST-Endpunkte externen Netzwerken ausgesetzt oder in Umgebungen integriert sind, in denen Bedrohungsakteure Brute-Force- oder DoS-Angriffe versuchen k?nnten.
- Halten Sie das Riva Framework, den Triton Inference Server und die Abh?ngigkeiten auf dem neuesten Stand, um bekannte Schwachstellen zu entsch?rfen und vor neu entdeckten Exploits zu schützen.