Nvidia Triton Server RCE：Pythonバックエンドの連鎖的脆弱性が露呈

セキュリティ研究者たちは、NvidiaのTriton Inference Serverに一連の重大な脆弱性を発見しました。これらが連続して悪用されると、システム全体が侵害される可能性があります。これらの欠陥はWiz Researchによって詳細に報告され、Nvidiaへの通知によりパッチのリリースに至りました。

これらの脆弱性が悪用されると、貴重なAIモデルの盗難、機密データの漏洩、AIモデルの応答操作、そして攻撃者が組織のネットワークに深く侵入するための足がかりを得るなど、重大な結果を招く可能性があります。

NvidiaのTriton Inference Serverは、主要なAIフレームワークからユーザー向けアプリケーションへAIモデルを効率的に実行・提供するために設計されたオープンソースプラットフォームです。この柔軟性は、特定のフレームワークに合わせた異なる「バックエンド」を介して実現されます。サーバーのPythonバックエンドは特に汎用性が高く、Pythonベースのモデルをサポートするだけでなく、他のフレームワークからも利用されています。Pythonバックエンドへの広範な依存は、その内部のセキュリティ上の弱点が、Tritonを使用する多数の組織に影響を与える可能性があることを意味します。

この悪用チェーンは、最初の脆弱性であるCVE-2025-23320（深刻度スコア7.5）から始まります。このバグはPythonバックエンドに存在し、共有メモリ制限を超える非常に大きなリクエストを送信することでトリガーされます。これにより、サーバーがエラーメッセージを生成し、意図せずバックエンドの内部プロセス間通信（IPC）共有メモリ領域の一意の名前（またはキー）が漏洩します。

この重要な情報があれば、攻撃者は公開されている共有メモリAPIを利用してTriton Inference Serverを制御できます。このAPIは不適切な検証に苦しんでおり、境界外書き込みおよび読み取りの脆弱性（それぞれCVE-2025-23319、深刻度8.1、およびCVE-2025-23334、深刻度5.9）に脆弱です。このAPIは、攻撃者が提供したキー（最初の欠陥から取得した一意の共有メモリ名であっても）が、正当なユーザー所有のメモリ領域またはプライベートな内部領域に対応するかどうかを適切に検証できません。この見落としにより、Tritonは攻撃者のエンドポイント登録要求を受け入れ、そのメモリ領域への不正な読み取りおよび書き込みアクセスを許可してしまいます。バックエンドの共有メモリを操作することで、攻撃者は最終的にサーバーの完全な制御を達成できます。

Wiz Researchは、この一連の脆弱性が実際の攻撃で悪用されたかどうかについては言及しておらず、現時点では詳細を控えていると述べています。

研究チームは、彼らの発見の重要性を強調し、「この研究は、一見些細な一連の欠陥がどのように連鎖して重大なエクスプロイトを生み出すかを示しています」と述べました。彼らは、詳細なエラーメッセージと、メインサーバーの悪用されうる機能の組み合わせが、潜在的なシステム侵害への経路を生み出すのに十分であったと付け加えました。「企業がAIとMLをより広範に展開するにつれて、基盤となるインフラストラクチャのセキュリティ確保は最重要です」とチームは述べ、セキュリティがアプリケーションのあらゆる層で考慮される多層防御戦略の極めて重要な重要性を強調しました。

Nvidiaは、これら3つのセキュリティ上の欠陥が、8月4日にリリースされたTriton Inference Serverのバージョン25.07で対処されたことを確認しました。以前のすべてのバージョンは脆弱です。Wiz Researchは、Nvidiaセキュリティチームの「優れた協力と迅速な対応」に感謝の意を表し、すべてのTriton Inference Serverユーザーに対し、これらのリスクを軽減するために直ちに最新バージョンに更新することを強く推奨しました。

Triton Inference Serverは、数年前から様々な規模の組織に広く採用されています。今年初め、NvidiaはTritonの後継として位置づけられるDynamoを発表しました。