Bug Critici su NVIDIA Triton consentono agli attaccanti di compromettere e rubare il modello AI

Sono state scoperte vulnerabilità critiche nel Triton Inference Server di NVIDIA, che minacciano la sicurezza dell’infrastruttura di intelligenza artificiale su Windows e Linux. La soluzione open source è progettata per l’implementazione e la manutenzione su larga scala di modelli di apprendimento automatico e ora, a quanto pare, il suo backend Python può essere utilizzato per assumere il controllo completo del server senza autorizzazione.

Triton Inference Server è un software open source per l’inferenza che semplifica l’inferenza dell’IA. Triton Inference Server consente ai team di implementare qualsiasi modello di IA da diversi framework di deep learning e machine learning, tra cui TensorRT, TensorFlow, PyTorch, ONNX, OpenVINO, Python, RAPIDS FIL e altri. Triton supporta l’inferenza su cloud, data center, dispositivi edge ed embedded su GPU NVIDIA, CPU x86 e ARM o AWS Inferentia.

Il team di Wiz ha segnalato tre vulnerabilità che, se combinate correttamente, potrebbero portare all’esecuzione remota di codice arbitrario. La prima, il CVE-2025-23319 con un punteggio CVSS di 8,1, consente a un aggressore di avviare una scrittura fuori dai limiti inviando una richiesta appositamente predisposta. La seconda, CVE-2025-23320 (CVSS 7.5), consente a un aggressore di superare il limite di memoria condivisa inviando una richiesta eccessivamente grande. La terza, CVE-2025-23334 (CVSS 5.9), causa una lettura fuori dai limiti. Sebbene non particolarmente pericolose singolarmente, se combinate, queste vulnerabilità aprono la strada alla compromissione completa del server.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il problema risiede nel meccanismo che elabora i modelli Python, compresi quelli creati con PyTorch e TensorFlow. Questo backend consente di inviare richieste di inferenza utilizzando meccanismi IPC interni, il cui funzionamento è il punto in cui sono associate le vulnerabilità.

Lo scenario di attacco inizia con CVE-2025-23320, che può estrarre il nome univoco dell’area di memoria condivisa in cui avviene l’interazione tra i componenti. Questo nome è pensato per essere nascosto, ma un aggressore può ottenerlo e utilizzarlo come chiave. Successivamente, CVE-2025-23319 e CVE-2025-23334 consentono la scrittura e la lettura di dati in memoria, aggirando le restrizioni. Ciò fornisce il pieno controllo sul processo di inferenza, la possibilità di iniettare codice dannoso, rubare modelli di intelligenza artificiale, modificarne il comportamento e intercettare informazioni sensibili.

Secondo gli esperti, l’attacco hacker a Triton potrebbe diventare il punto di accesso per un attacco più ampio all’intera rete dell’organizzazione, comprese le infrastrutture che svolgono attività critiche.

In un nuovo bollettino di agosto, NVIDIA conferma l’esistenza dei problemi sopra descritti e richiede l’installazione immediata dell’aggiornamento 25.07, che li risolve.

Contemporaneamente, lo sviluppatore ha annunciato la correzione di altri tre bug gravi: CVE-2025-23310 , CVE-2025-23311 e CVE-2025-23317 . Questi errori possono anche causare l’esecuzione di codice, la perdita di dati, l’errore del server e l’interferenza con il contenuto della memoria. Tutti questi bug sono stati risolti nello stesso aggiornamento.

Sebbene non vi siano prove che queste vulnerabilità siano state sfruttate in natura, dato il rischio e la natura dei componenti coinvolti, si consiglia alle organizzazioni che utilizzano Triton di aggiornare e rivedere immediatamente il modello di minaccia associato alla propria infrastruttura di intelligenza artificiale.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.