CVE-2025-23298: NVIDIA 머린에서 원격... 노트

CVE-2025-23298: NVIDIA 머린에서 원격 코드 실행 취약점 발견

Trend Micro 제로 데이 이니셔티브는 NVIDIA의 Transformers4Rec 라이브러리에서 심각한 취약성을 발견했습니다. 이 취약성(CVE-2025-23298)을 이용하면 루트 권한으로 원격 코드 실행이 가능합니다. 이 취약성은 Python의 pickle 모듈을 사용하여 모델 체크포인트를 로드할 때 안전하지 않은 역직렬화에서 비롯됩니다. Merlin 에코시스템의 일부인 Transformers4Rec은 추천 작업에 널리 사용되며 Hugging Face Transformers와 통합됩니다. 결함은 안전 매개변수 없이 torch.load()를 직접 사용하는 load_model_trainer_states_from_checkpoint 함수에 있습니다. 이로 인해 악의적인 pickle 파일이 노출됩니다. Pickle의 __reduce__ 메서드는 역직렬화 중에 임의의 코드 실행을 허용합니다. 모델 공유가 일반적이고 체크포인트 파일에 대한 신뢰가 높으며, 특히 이러한 프로세스가 상승된 권한으로 실행되는 경우 공격 표면이 상당히 넓습니다. 악의적인 체크포인트는 모델 가중치가 로드되기 전에 시스템 명령을 실행할 수 있습니다. 실제 영향으로는 원격 코드 실행, 권한 상승, 데이터 유출 및 공급망 공격이 포함됩니다. NVIDIA는 승인된 클래스로 역직렬화를 제한하는 사용자 지정 로딩 메커니즘을 구현하여 이 취약성을 패치했습니다. 이 사건은 pickle 의존으로 인한 ML/AI 에코시스템의 만연한 보안 문제를 강조합니다. 개발자는 신뢰할 수 없는 데이터에 대해 pickle을 사용하지 않고, weights_only=True를 사용하고, 신뢰할 수 있는 클래스를 제한하며, Safetensors와 같은 안전한 직렬화 형식을 고려해야 합니다. 조직은 모델 출처를 감사하고, 서명을 구현하고, 모델 로딩을 샌드박스화해야 합니다. ML 커뮤니티는 pickle에서 벗어나 프레임워크 설계에서 보안을 우선시해야 합니다.
CdXz5zHNQW_ETMuumC4hx.jpeg