นักวิจัยพบเซิร์ฟเวอร์ Ollama AI 175,000 เครื่องถูกเปิดเผยต่อสาธารณะใน 130 ประเทศ

การตรวจสอบร่วมกันโดย SentinelOne SentinelLABS และ Censys เปิดเผยว่ามีเซิร์ฟเวอร์ Ollama AI ที่เป็นโอเพนซอร์สกว่า 175,000 เครื่องถูกเปิดเผยต่อสาธารณะใน 130 ประเทศ ซึ่งก่อให้เกิด “โครงสร้างพื้นฐาน AI ที่ไม่ได้รับการจัดการและสามารถเข้าถึงได้จากสาธารณะ” โดยเซิร์ฟเวอร์เหล่านี้ทำงานนอกเหนือจากระบบป้องกันและระบบตรวจสอบตามปกติ และส่วนใหญ่ตั้งอยู่ในประเทศจีน สหรัฐอเมริกา เยอรมนี ฝรั่งเศส เกาหลีใต้ อินเดีย รัสเซีย สิงคโปร์ บราซิล และสหราชอาณาจักร เกือบครึ่งหนึ่งของเซิร์ฟเวอร์ที่ถูกพบมีการเปิดใช้งานคุณสมบัติ ‘tool-calling’ ซึ่งช่วยให้สามารถรันโค้ด เข้าถึง API และโต้ตอบกับระบบภายนอกได้ ความสามารถนี้เมื่อรวมกับการตรวจสอบสิทธิ์ที่ไม่เพียงพอและการเปิดเผยเครือข่าย ทำให้เกิดความเสี่ยงระดับสูงสุดในระบบนิเวศ โดยเฉพาะอย่างยิ่งความเสี่ยงต่อการโจมตีแบบ LLMjacking ที่ผู้ไม่หวังดีจะใช้ทรัพยากร AI ของเหยื่อเพื่อประโยชน์ของตนเอง รายงานยังระบุถึงกลุ่มผู้ไม่หวังดีชื่อ Hecker (หรือ Sakuya และ LiveGamer101) ที่ใช้แคมเปญ ‘Operation Bizarre Bazaar’ เพื่อสแกนและค้าขายการเข้าถึงเซิร์ฟเวอร์ LLM ที่เปิดเผยเหล่านี้ ซึ่งรวมถึงอินสแตนซ์ Ollama, เซิร์ฟเวอร์ vLLM และ API ที่เข้ากันได้กับ OpenAI โดยไม่มีการตรวจสอบสิทธิ์

Severity: วิกฤต

System Impact:

• เซิร์ฟเวอร์ Ollama AI (ที่ติดตั้งในระบบคลาวด์และเครือข่ายที่พักอาศัยบน Windows, macOS, Linux)
• โมเดลภาษาขนาดใหญ่ (LLMs) ที่รันบนเซิร์ฟเวอร์ Ollama
• API และระบบภายนอกที่สามารถโต้ตอบได้ผ่านคุณสมบัติ ‘tool-calling’
• โครงสร้างพื้นฐาน AI ที่ไม่ได้รับการจัดการ
• ขอบเขตความปลอดภัยขององค์กร (เนื่องจากเซิร์ฟเวอร์ทำงานนอกเหนือจากระบบป้องกันปกติ)

Technical Attack Steps:

1. ผู้ใช้ติดตั้ง Ollama และตั้งค่าให้ผูกกับ 0.0.0.0 หรืออินเทอร์เฟซสาธารณะ แทนที่จะเป็น 127.0.0.1:11434 ตามค่าเริ่มต้น ส่งผลให้เซิร์ฟเวอร์ Ollama AI เปิดเผยต่อสาธารณะบนอินเทอร์เน็ตโดยไม่มีการตรวจสอบสิทธิ์ที่เพียงพอ
2. ผู้ไม่หวังดีดำเนินการสแกนอินเทอร์เน็ตอย่างเป็นระบบเพื่อค้นหาอินสแตนซ์ Ollama, เซิร์ฟเวอร์ vLLM และ API ที่เข้ากันได้กับ OpenAI ที่เปิดเผยต่อสาธารณะโดยไม่มีการตรวจสอบสิทธิ์
3. ผู้ไม่หวังดีตรวจสอบความถูกต้องของปลายทางที่พบโดยการประเมินคุณภาพการตอบสนองเพื่อให้แน่ใจว่าสามารถใช้งานได้จริง
4. นำการเข้าถึงโครงสร้างพื้นฐาน AI ที่ถูกบุกรุกไปใช้ประโยชน์เชิงพาณิชย์ โดยเสนอขายในราคาที่ลดลง (เช่น บนแพลตฟอร์ม silver[.]inc ซึ่งทำหน้าที่เป็น Unified LLM API Gateway)
5. เซิร์ฟเวอร์ที่ถูกบุกรุก โดยเฉพาะอย่างยิ่งเซิร์ฟเวอร์ที่มีความสามารถในการเรียกใช้เครื่องมือ (tool-calling) จะถูกใช้เพื่อกิจกรรมที่เป็นอันตราย เช่น การสร้างอีเมลสแปม, การดำเนินการแคมเปญข้อมูลที่บิดเบือน, การขุดคริปโตเคอร์เรนซี, การขายการเข้าถึงต่อให้กลุ่มอาชญากรอื่น, การฉีดพรอมต์ และการพร็อกซีทราฟฟิกที่เป็นอันตรายผ่านโครงสร้างพื้นฐานของเหยื่อ

Recommendations:

Short Term:

• ตรวจสอบและยืนยันการตั้งค่า Ollama AI ให้ผูกกับที่อยู่ localhost (127.0.0.1) เท่านั้น เว้นแต่จะมีความจำเป็นและมาตรการรักษาความปลอดภัยที่เพียงพอสำหรับการเข้าถึงสาธารณะ
• ใช้มาตรการตรวจสอบสิทธิ์ที่แข็งแกร่ง (เช่น รหัสผ่านที่ซับซ้อน, การตรวจสอบสิทธิ์แบบหลายปัจจัย) สำหรับบริการ AI ใดๆ ที่จำเป็นต้องเข้าถึงจากสาธารณะ
• ปิดใช้งานคุณสมบัติ ‘tool-calling’ บนอินสแตนซ์ Ollama ที่เปิดเผยต่อสาธารณะ หากไม่จำเป็นอย่างยิ่ง เพื่อลดความเสี่ยงในการรันโค้ดและโต้ตอบกับระบบภายนอก
• ดำเนินการตรวจสอบการปรับใช้ Ollama ที่มีอยู่ทั้งหมดเพื่อหาการเปิดเผยต่อสาธารณะและการกำหนดค่าที่ไม่ถูกต้องโดยทันที

Long Term:

• พัฒนาระบบการกำกับดูแลและตรวจสอบที่ชัดเจนสำหรับโครงสร้างพื้นฐาน AI ทั้งหมด โดยเฉพาะอย่างยิ่งต้องแยกความแตกต่างและมีแนวทางปฏิบัติด้านความปลอดภัยสำหรับ ‘cloud deployments’ และ ‘distributed edge infrastructure’
• ใช้การควบคุมการตรวจสอบสิทธิ์ การตรวจสอบ และเครือข่ายแบบเดียวกันกับ LLMs ที่เข้าถึงได้จากภายนอก เช่นเดียวกับที่ใช้กับโครงสร้างพื้นฐานที่สำคัญอื่นๆ
• ลงทุนในการรักษาความปลอดภัย API ที่แข็งแกร่งสำหรับ LLMs ที่มีคุณสมบัติ ‘tool-calling’ เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
• ดำเนินการตรวจสอบความปลอดภัยและการทดสอบการเจาะระบบ (penetration testing) เป็นประจำสำหรับทุกการปรับใช้ AI เพื่อระบุและแก้ไขช่องโหว่
• ให้ความรู้แก่ผู้ใช้และนักพัฒนาเกี่ยวกับแนวทางปฏิบัติในการกำหนดค่าเครื่องมือ AI อย่างปลอดภัยและตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการเปิดเผยเซิร์ฟเวอร์ต่อสาธารณะ

Source: The Hacker News