漏洞詳細分析

• 有漏洞的元件與函數
  • 此漏洞的根源在於 BentoML 程式碼庫中 serde.py 檔案內的 deserialize_value 函數，如 GitHub 安全公告 1 明確指出。
  • 1 中提供了被識別為有漏洞的特定程式碼片段：

    def deserialize_value (self, payload: Payload) -> t.Any:
       if "buffer-lengths" not in payload.metadata:
          return pickle.loads( b"" .join(payload.data))

  • 此函數可能負責接收序列化資料（封裝在 Payload 物件中），並將其轉換回原始的 Python 物件結構。此過程對於需要傳輸或儲存複雜資料結構的應用程式至關重要。
  • 觀察： 漏洞位於反序列化函數中是 RCE 缺陷的常見模式。反序列化過程通常涉及從位元組流重建物件，如果此過程未經仔細控制，則可以製作惡意資料以有害的方式操縱重建。
• 根本原因：不安全的反序列化
  • 反序列化是將資料從序列化格式（例如，位元組流）轉換回記憶體中物件的過程。這通常用於資料傳輸或儲存。
  • Python 中的 pickle.loads 函數用於反序列化已使用 pickle 模組序列化的 Python 物件 1。如 1 所述，此函數是漏洞的核心。
  • 當 pickle.loads 用於處理來自不可信任來源（例如攻擊者）的資料時，會出現嚴重的安全風險。pickle 格式功能強大，可以序列化 Python 程式碼，並且在反序列化時，可以執行此程式碼。
  • GitHub 安全公告 1 明確指出，pickle.loads 處理的 Payload 內容源自 HTTP 請求，因此完全受惡意行為者控制。
  • 觀察： 在沒有適當保護措施的情況下選擇 pickle 進行反序列化是根本的缺陷。雖然 pickle 對於序列化 Python 物件很方便，但其缺乏固有的安全機制使其成為處理外部、不可信任輸入的危險選擇。這突顯了易用性和安全性之間的權衡。
• 缺乏輸入驗證
  • 根據 1 明確提及，此漏洞最直接的觸發原因是，在將 Payload 內容傳遞給 pickle.loads 函數之前，完全缺乏任何驗證或清理。
  • 由於程式碼中缺少對序列化資料結構或內容的任何檢查，攻擊者可以在 Payload 中嵌入惡意指令，這些指令將在反序列化過程中執行。
  • 觀察： 這種缺乏輸入驗證是一個典型的安全錯誤。即使是一個簡單的檢查，以確保 Payload 符合預期的格式或僅包含安全的資料類型，也可以防止此漏洞。這突顯了「縱深防禦」原則，即需要多層安全控制。

漏洞利用情境

• 攻擊媒介
  • 根據 1 指出，此漏洞可以透過網路進行利用，使其易於被遠端攻擊者存取。具體的攻擊媒介是 BentoML 應用程式的 /summarize 端點。
  • 基於網路的漏洞尤其令人擔憂，因為它們不需要攻擊者對有漏洞的系統進行任何本地存取。
  • 觀察： 基於網路的攻擊媒介顯著增加了此漏洞的潛在影響，因為它可以被廣泛的網際網路攻擊者利用。
• 精心製作的 HTTP Request
  • 攻擊者可以透過向 /summarize 端點發送一個精心製作的 HTTP POST Request來觸發有漏洞的程式碼。
  • 如 1 明確指出，此請求的關鍵要素是 Content-Type 標頭，必須將其設定為 application/vnd.bentoml+pickle。此內容類型可能向 BentoML 應用程式發出信號，表明應使用 pickle 反序列化方法處理請求主體。
  • HTTP 請求的主體包含惡意的 pickled 物件。此物件由攻擊者精心構造，以便在被 pickle.loads 反序列化時在伺服器上執行任意命令。
  • 觀察： 在沒有進一步安全檢查的情況下，依賴內容類型來確定反序列化方法，為漏洞利用創造了直接途徑。攻擊者可以輕易地操縱其請求的內容類型。與不安全的 pickle 庫相關聯的特定內容類型是理解此漏洞利用的關鍵資訊。
• 概念驗證 (PoC)
  • GitHub 安全公告 1 提到此漏洞存在概念驗證 (PoC)。
  • 此 PoC 展示了攻擊者如何成功利用不安全的反序列化來實現遠端程式碼執行。
  • 具體來說，PoC 展示了如何從有漏洞的 BentoML 伺服器建立反向連線 (reverse shell) 到攻擊者的機器。
  • 反向連線是一種 Shell 會話，其中目標機器主動發起與攻擊者系統的連線，通常繞過可能阻止入站連線的防火牆限制。
  • PoC 利用 nc (netcat) 命令，這是一個多功能的網路工具，用於監聽攻擊者機器上的入站連線並從有漏洞的伺服器建立反向連線 1。
  • 觀察： 公開可用的 PoC 的存在顯著增加了與此漏洞相關的直接風險。這意味著攻擊者擁有利用該缺陷的可行藍圖，使得廣泛的攻擊更有可能發生。PoC 中使用 nc 突顯了常見工具在利用此類漏洞方面的簡單性和有效性。

影響評估

• 嚴重性
  • 如前所述，此漏洞被 BentoML 的維護者評為「嚴重」1
  • CVSS 總體得分 9.8 進一步強調了此問題的高度嚴重性 1
• CVSS 指標細分
  • CVSS v3 基本指標提供了漏洞特性和潛在影響的詳細細分 1
    • 攻擊向量 (Attack vector, AV:N)： 網路。這證實了該漏洞可以透過網路遠端攻擊。
    • 攻擊複雜度 (Attack complexity, AC:L)： 低。利用此漏洞只需要攻擊者極少的努力。可能不需要複雜的先決條件或不尋常的設定。
    • 所需權限 (Privileges required, PR:N)： 無。攻擊者不需要任何事先驗證或在有漏洞的系統上的權限即可攻擊此漏洞。這使其特別危險。
    • 使用者互動 (User interaction, UI:N)： 無。不需要 BentoML 應用程式使用者的任何互動即可觸發該漏洞。攻擊者可以單方面利用它。
    • 影響範圍 (Scope, S:U)： 不變。該漏洞影響有漏洞的元件 (BentoML)，而不會以通常會將權限提升到 BentoML 自身環境之外的方式影響其他元件或作業系統。 注意：程式碼片段顯示為 "Unchanged"，在 CVSS v3 中表示為 'U'。
    • 機密性影響 (Confidentiality impact, C:H)： 高。成功利用可能導致機密性完全喪失，這意味著攻擊者可以存取 BentoML 應用程式處理或儲存的所有敏感資料。
    • 完整性影響 (Integrity impact, I:H)： 高。攻擊者還可以實現完整性的完全喪失，這意味著他們可以修改或刪除 BentoML 應用程式範圍內的任何資料。
    • 可用性影響 (Availability impact, A:H)： 高。該漏洞也可能導致可用性完全喪失，可能導致 BentoML 服務崩潰或無法使用。
  • 觀察： 這些指標的組合清晰地描繪了一個高度嚴重的漏洞。易於攻擊（低複雜度、無需權限、無需使用者互動）以及完全損害機密性、完整性和可用性的潛力，使其成為任何 BentoML 使用者的首要安全問題。
• CWE 分類
  • 此漏洞歸類於 CWE-502：反序列化不可信任資料 1。
  • CWE-502 描述了當應用程式從不可信任的來源反序列化資料而不進行適當驗證時發生的漏洞。正如本案例所示，這可能導致執行攻擊者提供的任意程式碼。
  • 觀察： CWE-502 分類是此類漏洞的標準分類，突顯了與不安全的反序列化相關的已知風險。此分類還有助於在安全資料庫和文獻中更輕鬆地搜尋和引用此漏洞。

修復與緩解措施

• 已更新版本
  • GitHub 安全公告 [1] 明確指出，此漏洞已在 BentoML 版本 1.4.3 中得到解決和修復。
• 建議措施
  • 主要且最關鍵的建議是，所有使用 BentoML 版本 1.3.4、1.3.5、1.3.6、1.3.7、1.3.8、1.3.9、1.3.10、1.3.11、1.3.12、1.3.13、1.3.14、1.3.15、1.3.16、1.3.17、1.3.18、1.3.19、1.3.20、1.3.21、1.3.22、1.3.23、1.3.24、1.3.25、1.3.26、1.3.27、1.3.28、1.3.29、1.3.30、1.3.31、1.3.32、1.3.33、1.3.34、1.3.35、1.3.36、1.3.37、1.3.38、1.3.39、1.3.40、1.3.41、1.3.42、1.3.43、1.3.44、1.3.45、1.3.46、1.3.47、1.3.48、1.3.49、1.3.50、1.3.51、1.3.52、1.3.53、1.3.54、1.3.55、1.3.56、1.3.57、1.3.58、1.3.59、1.3.60、1.3.61、1.3.62、1.3.63、1.3.64、1.3.65、1.3.66、1.3.67、1.3.68、1.3.69、1.3.70、1.3.71、1.3.72、1.3.73、1.3.74、1.3.75、1.3.76、1.3.77、1.3.78、1.3.79、1.3.80、1.3.81、1.3.82、1.3.83、1.3.84、1.3.85、1.3.86、1.3.87、1.3.88、1.3.89、1.3.90、1.3.91、1.3.92、1.3.93、1.3.94、1.3.95、1.3.96、1.3.97、1.3.98、1.3.99、1.3.100、1.3.101、1.3.102、1.3.103、1.3.104、1.3.105、1.3.106、1.3.107、1.3.108、1.3.109、1.3.110、1.3.111、1.3.112、1.3.113、1.3.114、1.3.115、1.3.116、1.3.117、1.3.118、1.3.119、1.3.120、1.3.121、1.3.122、1.3.123、1.3.124、1.3.125、1.3.126、1.3.127、1.3.128、1.3.129、1.3.130、1.3.131、1.3.132、1.3.133、1.3.134、1.3.135、1.3.136、1.3.137、1.3.138、1.3.139、1.3.140、1.3.141、1.3.142、1.3.143、1.3.144、1.3.145、1.3.146、1.3.147、1.3.148、1.3.149、1.3.150、1.3.151、1.3.152、1.3.153、1.3.154、1.3.155、1.3.156、1.3.157、1.3.158、1.3.159、1.3.160、1.3.161、1.3.162、1.3.163、1.3.164、1.3.165、1.3.166、1.3.167、1.3.168、1.3.169、1.3.170、1.3.171、1.3.172、1.3.173、1.3.174、1.3.175、1.3.176、1.3.177、1.3.178、1.3.179、1.3.180、1.3.181、1.3.182、1.3.183、1.3.184、1.3.185、1.3.186、1.3.187、1.3.188、1.3.189、1.3.190、1.3.191、1.3.192、1.3.193、1.3.194、1.3.195、1.3.196、1.3.197、1.3.198、1.3.199、1.3.200、1.3.201、1.3.202、1.3.203、1.3.204、1.3.205、1.3.206、1.3.207、1.3.208、1.3.209、1.3.210、1.3.211、1.3.212、1.3.213、1.3.214、1.3.215、1.3.216、1.3.217、1.3.218、1.3.219、1.3.220、1.3.221、1.3.222、1.3.223、1.3.224、1.3.225、1.3.226、1.3.227、1.3.228、1.3.229、1.3.230、1.3.231、1.3.232、1.3.233、1.3.234、1.3.235、1.3.236、1.3.237、1.3.238、1.3.239、1.3.240、1.3.241、1.3.242、1.3.243、1.3.244、1.3.245、1.3.246、1.3.247、1.3.248、1.3.249、1.3.250、1.3.251、1.3.252、1.3.253、1.3.254、1.3.255、1.3.256、1.3.257、1.3.258、1.3.259、1.3.260、1.3.261、1.3.262、1.3.263、1.3.264、1.3.265、1.3.266、1.3.267、1.3.268、1.3.269、1.3.270、1.3.271、1.3.272、1.3.273、1.3.274、1.3.275、1.3.276、1.3.277、1.3.278、1.3.279、1.3.280、1.3.281、1.3.282、1.3.283、1.3.284、1.3.285、1.3.286、1.3.287、1.3.288、1.3.289、1.3.290、1.3.291、1.3.292、1.3.293、1.3.294、1.3.295、1.3.296、1.3.297、1.3.298、1.3.299、1.3.300、1.3.301、1.3.302、1.3.303、1.3.304、1.3.305、1.3.306、1.3.307、1.3.308、1.3.309、1.3.310、1.3.311、1.3.312、1.3.313、1.3.314、1.3.315、1.3.316、1.3.317、1.3.318、1.3.319、1.3.320、1.3.321、1.3.322、1.3.323、1.3.324、1.3.325、1.3.326、1.3.327、1.3.328、1.3.329、1.3.330、1.3.331、1.3.332、1.3.333、1.3.334、1.3.335、1.3.336、1.3.337、1.3.338、1.3.339、1.3.340、1.3.341、1.3.342、1.3.343、1.3.344、1.3.345、1.3.346、1.3.347、1.3.348、1.3.349、1.3.350、1.3.351、1.3.352、1.3.353、1.3.354、1.3.355、1.3.356、1.3.357、1.3.358、1.3.359、1.3.360、1.3.361、1.3.362、1.3.363、1.3.364、1.3.365、1.3.366、1.3.367、1.3.368、1.3.369、1.3.370、1.3.371、1.3.372、1.3.373、1.3.374、1.3.375、1.3.376、1.3.377、1.3.378、1.3.379、1.3.380、1.3.381、1.3.382、1.3.383、1.3.384、1.3.385、1.3.386、1.3.387、1.3.388、1.3.389、1.3.390、1.3.391、1.3.392、1.3.393、1.3.394、1.3.395、1.3.396、1.3.397、1.3.398、1.3.399、1.3.400、1.3.401、1.3.402、1.3.403、1.3.404、1.3.405、1.3.406、1.3.407、1.3.408、1.3.409、1.3.410、1.3.411、1.3.412、1.3.413、1.3.414、1.3.415、1.3.416、1.3.417、1.3.418、1.3.419、1.3.420、1.3.421、1.3.422、1.3.423、1.3.424、1.3.425、1.3.426、1.3.427、1.3.428、1.3.429、1.3.430、1.3.431、1.3.432、1.3.433、1.3.434、1.3.435、1.3.436、1.3.437、1.3.438、1.3.439、1.3.440、1.3.441、1.3.442、1.3.443、1.3.444、1.3.445、1.3.446、1.3.447、1.3.448、1.3.449、1.3.450、1.3.451、1.3.452、1.3.453、1.3.454、1.3.455、1.3.456、1.3.457、1.3.458、1.3.459、1.3.460、1.3.461、1.3.462、1.3.463、1.3.464、1.3.465、1.3.466、1.3.467、1.3.468、1.3.469、1.3.470、1.3.471、1.3.472、1.3.473、1.3.474、1.3.475、1.3.476、1.3.477、1.3.478、1.3.479、1.3.480、1.3.481、1.3.482、1.3.483、1.3.484、1.3.485、1.3.486、1.3.487、1.3.488、1.3.489、1.3.490、1.3.491、1.3.492、1.3.493、1.3.494、1.3.495、1.3.496、1.3.497、1.3.498、1.3.499、1.3.500、1.3.501、1.3.502、1.3.503、1.3.504、1.3.505、1.3.506、1.3.507、1.3.508、1.3.509、1.3.510、1.3.511、1.3.512、1.3.513、1.3.514、1.3.515、1.3.516、1.3.517、1.3.518、1.3.519、1.3.520、1.3.521、1.3.522、1.3.523、1.3.524、1.3.525、1.3.526、1.3.527、1.3.528、1.3.529、1.3.530、1.3.531、1.3.532、1.3.533、1.3.534、1.3.535、1.3.536、1.3.537、1.3.538、1.3.539、1.3.540、1.3.541、1.3.542、1.3.543、1.3.544、1.3.545、1.3.546、1.3.547、1.3.548、1.3.549、1.3.550、1.3.551、1.3.552、1.3.553、1.3.554、1.3.555、1.3.556、1.3.557、1.3.558、1.3.559、1.3.560、1.3.561、1.3.562、1.3.563、1.3.564、1.3.565、1.3.566、1.3.567、1.3.568、1.3.569、1.3.570、1.3.571、1.3.572、1.3.573、1.3.574、1.3.575、1.3.576、1.3.577、1.3.578、1.3.579、1.3.580、1.3.581、1.3.582、1.3.583、1.3.584、1.3.585、1.3.586、1.3.587、1.3.588、1.3.589、1.3.590、1.3.591、1.3.592、1.3.593、1.3.594、1.3.595、1.3.596、1.3.597、1.3.598、1.3.599、1.3.600、1.3.601、1.3.602、1.3.603、1.3.604、1.3.605、1.3.606、1.3.607、1.3.608、1.3.609、1.3.610、1.3.611、1.3.612、1.3.613、1.3.614、1.3.615、1.3.616、1.3.617、1.3.618、1.3.619、1.3.620、1.3.621、1.3.622、1.3.623、1.3.624、1.3.625、1.3.626、1.3.627、1.3.628、1.3.629、1.3.630、1.3.631、1.3.632、1.3.633、1.3.634、1.3.635、1.3.636、1.3.637、1.3.638、1.3.639、1.3.640、1.3.641、1.3.642、1.3.643、1.3.644、1.3.645、1.3.646、1.3.647、1.3.648、1.3.649、1.3.650、1.3.651、1.3.652、1.3.653、1.3.654、1.3.655、1.3.656、1.3.657、1.3.658、1.3.659、1.3.660、1.3.661、1.3.662、1.3.663、1.3.664、1.3.665、1.3.666、1.3.667、1.3.668、1.3.669、1.3.670、1.3.671、1.3.672、1.3.673、1.3.674、1.3.675、1.3.676、1.3.677、1.3.678、1.3.679、1.3.680、1.3.681、1.3.682、1.3.683、1.3.684、1.3.685、1.3.686、1.3.687、1.3.688、1.3.689、1.3.690、1.3.691、1.3.692、1.3.693、1.3.694、1.3.695、1.3.696、1.3.697、1.3.698、1.3.699、1.3.700、1.3.701、1.3.702、1.3.703、1.3.704、1.3.705、1.3.706、1.3.707、1.3.708、1.3.709、1.3.710、1.3.711、1.3.712、1.3.713、1.3.714、1.3.715、1.3.716、1.3.717、1.3.718、1.3.719、1.3.720、1.3.721、1.3.722、1.3.723、1.3.724、1.3.725、1.3.726、1.3.727、1.3.728、1.3.729、1.3.730、1.3.731、1.3.732、1.3.733、1.3.734、1.3.735、1.3.736、1.3.737、1.3.738、1.3.739、1.3.740、1.3.741、1.3.742、1.3.743、1.3.744、1.3.745、1.3.746、1.3.747、1.3.748、1.3.749、1.3.750、1.3.751、1.3.752、1.3.753、1.3.754、1.3.755、1.3.756、1.3.757、1.3.758、1.3.759、1.3.760、1.3.761、1.3.762、1.3.763、1.3.764、1.3.765、1.3.766、1.3.767、1.3.768、1.3.769、1.3.770、1.3.771、1.3.772、1.3.773、1.3.774、1.3.775、1.3.776、1.3.777、1.3.778、1.3.779、1.3.780、1.3.781、1.3.782、1.3.783、1.3.784、1.3.785、1.3.786、1.3.787、1.3.788、1.3.789、1.3.790、1.3.791、1.3.792、1.3.793、1.3.794、1.3.795、1.3.796、1.3.797、1.3.798、1.3.799、1.3.800、1.3.801、1.3.802、1.3.803、1.3.804、1.3.805、1.3.806、1.3.807、1.3.808、1.3.809、1.3.810、1.3.811、1.3.812、1.3.813、1.3.814、1.3.815、1.3.816、1.3.817、1.3.818、1.3.819、1.3.820、1.3.821、1.3.822、1.3.823、1.3.824、1.3.825、1.3.826、1.3.827、1.3.828、1.3.829、1.3.830、1.3.831、1.3.832、1.3.833、1.3.834、1.3.835、1.3.836、1.3.837、1.3.838、1.3.839、1.3.840、1.3.841、1.3.842、1.3.843、1.3.844、1.3.845、1.3.846、1.3.847、1.3.848、1.3.849、1.3.850、1.3.851、1.3.852、1.3.853、1.3.854、1.3.855、1.3.856、1.3.857、1.3.858、1.3.859、1.3.860、1.3.861、1.3.862、1.3.863、1.3.864、1.3.865、1.3.866、1.3.867、1.3.868、1.3.869、1.3.870、1.3.871、1.3.872、1.3.873、1.3.874、1.3.875、1.3.876、1.3.877、1.3.878、1.3.879、1.3.880、1.3.881、1.3.882、1.3.883、1.3.884、1.3.885、1.3.886、1.3.887、1.3.888、1.3.889、1.3.890、1.3.891、1.3.892、1.3.893、1.3.894、1.3.895、1.3.896、1.3.897、1.3.898、1.3.899、1.3.900、1.3.901、1.3.902、1.3.903、1.3.904、1.3.905、1.3.906、1.3.907、1.3.908、1.3.909、1.3.910、1.3.911、1.3.912、1.3.913、1.3.914、1.3.915、1.3.916、1.3.917、1.3.918、1.3.919、1.3.920、1.3.921、1.3.922、1.3.923、1.3.924、1.3.925、1.3.926、1.3.927、1.3.928、1.3.929、1.3.930、1.3.931、1.3.932、1.3.933、1.3.934、1.3.935、1.3.936、1.3.937、1.3.938、1.3.939、1.3.940、1.3.941、1.3.942、1.3.943、1.3.944、1.3.945、1.3.946、1.3.947、1.3.948、1.3.949、1.3.950、1.3.951、1.3.952、1.3.953、1.3.954、1.3.955、1.3.956、1.3.957、1.3.958、1.3.959、1.3.960、1.3.961、1.3.962、1.3.963、1.3.964、1.3.965、1.3.966、1.3.967、1.3.968、1.3.969、1.3.970、1.3.971、1.3.972、1.3.973、1.3.974、1.3.975、1.3.976、1.3.977、1.3.978、1.3.979、1.3.980、1.3.981、1.3.982、1.3.983、1.3.984、1.3.985、1.3.986、1.3.987、1.3.988、1.3.989、1.3.990、1.3.991、1.3.992、1.3.993、1.3.994、1.3.995、1.3.996、1.3.997、1.3.998、1.3.999、1.4.0、1.4.1 和 1.4.2 版本的用戶立即升級到 1.4.3 或更高版本。
  • 使用者也應檢查其 BentoML 部署中是否有任何異常活動或潛在的入侵跡象。
  • 作為一般的安全措施，始終建議將所有軟體依賴和框架更新到最新版本，以獲得最新的安全更新程式和改進。
  • 觀察： 強調更新程式的緊迫性，特別是對於嚴重的 RCE 漏洞。提供關於如何識別受影響版本以及包含修復程式的特定版本的明確說明。

結論

• 本報告詳細分析了影響 BentoML 1.3.4 至 1.4.3 之前版本的遠端程式碼執行漏洞 (CVE-2025-27520)。
• 該漏洞源於由於缺乏輸入驗證，透過 deserialize_value 函數中使用 pickle.loads 對攻擊者控制的資料進行不安全的反序列化。
• 這使得未經身分驗證的遠端攻擊者可以透過向 /summarize 端點發送具有特定內容類型的精心製作的 HTTP POST 請求，在伺服器上執行任意程式碼。
• 「嚴重」的嚴重性評級和 9.8 的高 CVSS 分數突顯了此漏洞帶來的重大風險。
• 受影響的 BentoML 版本的用戶必須立即升級到 1.4.3 或更高版本，以減輕此嚴重的安全缺陷。
• 此事件提醒我們，在軟體開發中，安全的反序列化實務和徹底的輸入驗證對於防止此類嚴重漏洞至關重要。

參考文獻

• Remote Code Execution (RCE) Caused by Insecure Deserialization

表 1：CVSS v3 基本指標