Aggiornamenti recenti Dicembre 3rd, 2025 7:01 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
- ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
- Coupang conferma il data breach: esposti i dati di oltre 30 milioni di utenti
- CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi malware via SMS
- Ecco il tool gratuito per verificare se un IP fa parte di un botnet
PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
I ricercatori di JFrog Security Research hanno individuato tre vulnerabilità 0-day in PickleScan, noto tool per la scansione di modelli di machine learning per l’individuazione di codice malevolo.
“Ogni vulnerabilità scoperta consente agli attaccanti di eludere il rilevamento dei malware di PickleScan e potenzialmente eseguire un attacco supply chain su larga scala distribuendo modelli ML dannosi che nascondono codice dannoso non rilevabile” spiegano i ricercatori.
Pickle di Python è notoriamente non sicuro a causa della sua capacità di serializzare quasi tutto, inclusi oggetti Python che possono eseguire codice arbitrario durante la deserializzazione. Numerosi framework ML, tra i quali PyTorch, lo utilizzano per salvare i pesi e la struttura dei modelli di machine learning. PickleScan è nato come uno strumento per mitigare questo rischio: il tool analizza i modelli Pickle alla ricerca di costrutti non sicuri prima che vengano caricati. Con queste tre nuove vulnerabilità, gli attaccanti possono eludere questo meccanismo di difesa ed eseguire codice da remoto.
Le vulnerabilità di PickleScan
La prima vulnerabilità individuata, tracciata come CVE-2025-10155, è un bug di bypass dell’estensione del file. Questo bug sfrutta una debolezza dello strumento che, nel rilevare il tipo di file, dà priorità al controllo dell’estensione del file rispetto all’analisi del contenuto.
Un attaccante può quindi usare un file Pickle standard e iniettarvi un payload malevolo, rinominandolo poi in un’estensione comunemente associata a PyTorch, come .bin o .pt. Quando PickleScan scansiona il file rinominato, tenta di applicare la logica di scansione specifica per PyTorch. Poiché il file è in realtà un Pickle standard, lo scanner PyTorch fallisce e restituisce un errore o un risultato incompleto, bypassando di fatto l’analisi del contenuto. Il payload malevolo si attiva poi al momento del caricamento da parte di PyTorch.
La seconda vulnerabilità risiede nel processo di gestione degli archivi ZIP, spesso usati per i modelli PyTorch. Lo strumento usa il modulo zipfile di Python per gestire gli archivi, ma la verifica dell’integrità dei file non è abbastanza robusta: un attaccante può infatti creare un archivio .zip contenente un payload dannoso e manipolarlo affinché la scansione di PickleScan fallisca o venga interrotta, senza restituire un risultato. Nonostante PickleScan fallisca la scansione, PyTorch può comunque caricare ed eseguire il codice malevolo.
Infine, la terza vulnerabilità sfrutta una logica di deserializzazione specifica di PyTorch del metodo reduce. Il metodo viene utilizzato per ricostruire gli oggetti e PickleScan non riesce a identificare correttamente l’uso di funzioni che sono considerate non sicure. Un attaccante può creare un payload Pickle sfruttando un difetto logico nel tracciamento degli argomenti durante l’analisi per causare un errore di gestione degli argomenti e innescare eccezioni. Bypassando i meccanismi di rilevamento di PickleScan, è possibile eseguire codice da remoto.
I ricercatori di JFrog Security Research sottolineano che queste tre vulnerabilità evidenziano un problema sistemico nel modo in cui si approccia la sicurezza dei modelli di machine learning: in primo luogo, l’estesa dipendenza da PickleScan crea un singolo punto di fallimento, rendendo vulnerabile l’intera architettura di sicurezza; inoltre, i tre bug dimostrano quanto è rischioso assumere che i tool di sicurezza e le applicazioni gestiscano i file allo stesso modo; infine, poiché i repository ospitano milioni di modelli, queste vulnerabilità consentono l’esecuzione di attacchi supply chain su ampia scala.
Il team di JFrog Security Reserach consiglia di aggiornare PickleScan all’ultima versione disponibile contenente le patch per le vulnerabilità. È consigliato inoltre valutare la migrazione a formati di serializzazione del modello più sicuri e meno flessibili e mettere in campo flussi di scansione a più livelli, senza affidarsi a un unico strumento.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di... -
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
PickleScan, scoperti tre bug 0-day che permettono di... I ricercatori di JFrog Security Research hanno... -
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3... -
Coupang conferma il data breach: esposti i dati di oltre 30... Coupang, colosso del retail sud-coreano, ha confermato di... -
CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi... Nel periodo compreso tra il 22 e il 28 novembre,... -
Ecco il tool gratuito per verificare se un IP fa parte di... GreyNoise ha recentemente annunciato il rilascio di...
Ransomware: la serie
No posts found.