NVIDIA修复关键RCE漏洞链

NVIDIA已修补其Triton推理服务器中的三个漏洞，当这些漏洞被串联利用时，未经身份验证的远程攻击者能够完全控制服务器并在其上运行任意代码。

这些被标记为CVE-2025-23319、CVE-2025-23320和CVE-2025-23334的漏洞是NVIDIA本周修补的17个严重、中危和低危漏洞的一部分。这些漏洞增加了NVIDIA——GPU和AI基础设施工具的主要供应商——最近在其不断扩展的软件生态系统中必须处理的大量CVE。

Triton推理服务器是一个开源平台，处理模型推理任务，即从用户处获取输入数据并通过使用TensorFlow、PyTorch和ONNX等深度学习框架构建的AI模型运行的过程。它就像一个智能邮件分拣中心，将推理请求路由到适当的AI模型进行处理，以生成图像识别、语音翻译或欺诈检测等输出。

关键漏洞链

Wiz的研究人员在Triton的Python后端发现了这个漏洞链，用于运行用Python和其他编码语言编写的AI模型。他们于5月向NVIDIA报告了这些缺陷。

Wiz研究主管Nir Ohfeld将CVE-2025-23319描述为一个信息泄露漏洞，允许攻击者使用特制请求收集易受攻击的Triton服务器上内部私有共享内存区域的唯一名称。然后，攻击者可以使用泄露的名称利用CVE-2025-23320，获得对该特定内存区域的完全读写访问权限。利用这种读写访问权限，攻击者可以利用CVE-2025-23334破坏内部数据结构或操纵服务器内存中的控制消息，导致完全远程代码执行（RCE），Ohfeld说。

“这对使用Triton进行AI/ML的组织构成了严重风险，因为成功的攻击可能导致有价值的AI模型被盗、敏感数据暴露、AI模型响应被操纵，以及攻击者深入网络的立足点，“Ohfeld本周在一篇总结威胁的博客文章中单独表示。

更广泛的威胁

新的Triton漏洞突显了一个更广泛且迅速增长的AI相关威胁类别，组织现在必须将其纳入其安全态势。随着像Triton这样的AI工具深度嵌入关键业务工作流，许多组织的攻击面已经以传统安全策略并不总是能够处理的方式扩展。新风险包括AI供应链完整性、模型中毒、提示注入和数据泄漏。

Ohfeld指出，攻击者需要以特定顺序串联所有三个漏洞，才能从零访问到RCE，每一步都启用下一步。CVE-2025-23319本身是一个低严重性的信息泄露。其主要危险在于它提供了攻击下一阶段所需的关键。同样，其他两个漏洞CVE-2025-23320和CVE-2025-23334，如果没有第一步的信息泄露，是无法被利用的。“攻击者无法滥用内部内存，除非首先知道其唯一名称，“他指出。

根据Ohfeld的说法，缓解威胁的最佳方法是组织立即将NVIDIA Triton推理服务器及其Python后端更新到新修补的版本25.07。Wiz还发布了指南，帮助客户检测和解决其环境中的易受攻击实例。

从利用难易度的角度来看，第一步——触发信息泄露——简单得令人担忧。远程、未经身份验证的攻击者可以通过简单扫描互联网上公开暴露的Triton推理服务器实例来利用它，而无需任何先前的访问权限。“虽然完成从信息泄露到RCE的完整链需要技术技能，“Ohfeld说，“但启动攻击的低门槛使任何暴露的服务器都成为重要目标。”