Обнаруженные критические уязвимости на платформе NVIDIA Triton Inference Server угрожают безопасности ИИ-инфраструктуры на Windows и Linux. Речь идёт об open source решении, предназначенном для масштабного развёртывания и обслуживания моделей машинного обучения — и теперь, как выясняется, его Python-бэкэнд можно использовать для полного захвата сервера без авторизации.
Команда Wiz сообщила о трёх уязвимостях, которые при грамотной комбинации позволяют добиться удалённого выполнения произвольного кода. Первая — CVE-2025-23319 с рейтингом 8.1 по шкале CVSS — позволяет злоумышленнику инициировать выход за границы при записи данных, отправив специально сформированный запрос. Вторая — CVE-2025-23320 (CVSS 7.5) — позволяет превысить лимит на объём разделяемой памяти за счёт чрезмерно большого запроса. Третья — CVE-2025-23334 (CVSS 5.9) — приводит к чтению за пределами допустимой области. Хотя по отдельности они не столь опасны, в связке эти уязвимости открывают дорогу к полной компрометации сервера.
Проблема кроется в механизме, обрабатывающем Python-модели, включая те, что построены с помощью PyTorch и TensorFlow. Этот бэкэнд позволяет отправлять запросы на инференс, используя внутренние IPC-механизмы — именно с их работой и связаны уязвимости.
Сценарий атаки начинается с использования CVE-2025-23320, с помощью которой можно вытащить уникальное имя области общей памяти, где происходит взаимодействие между компонентами. Это имя по замыслу должно быть скрыто, но злоумышленник может его получить и использовать как ключ. После чего CVE-2025-23319 и CVE-2025-23334 позволяют записывать и считывать данные в памяти, минуя ограничения. Это даёт полный контроль над процессом инференса, возможность внедрения вредоносного кода, кражи моделей ИИ, изменения их поведения и перехвата чувствительной информации.
По словам специалистов, взлом Triton может стать входной точкой в более широкую атаку на всю сеть организации, в том числе на инфраструктуру, обслуживающую критически важные задачи.
В свежем августовском бюллетене NVIDIA подтверждает наличие вышеописанных проблем и призывает немедленно установить обновление 25.07, в котором они устранены. Параллельно разработчик сообщил об исправлении ещё трёх серьёзных багов — CVE-2025-23310, CVE-2025-23311 и CVE-2025-23317. Эти ошибки также могут привести к выполнению кода, утечке данных, нарушению работы сервера и вмешательству в содержимое памяти. Все они были исправлены в том же обновлении.
Хотя пока нет данных о реальной эксплуатации этих уязвимостей, учитывая степень риска и характер задействованных компонентов, организациям, использующим Triton, рекомендовано немедленно провести обновление и пересмотреть модель угроз, связанную с ИИ-инфраструктурой.