NVIDIA Riva漏洞使AI语音和翻译服务面临风险

趋势科技研究发现在云环境中部署的NVIDIA Riva API端点存在普遍暴露模式。这些暴露实例在无认证保护的情况下运行，可能被威胁行为者访问。我们发现了两个漏洞（CVE-2025-23242和CVE-2025-23243）是导致这些暴露的主要原因。

配置错误的Riva部署允许未授权访问，使攻击者能够无限制滥用GPU资源和API密钥。暴露的API还增加了数据泄漏、拒绝服务（DoS）攻击和系统中断的风险。

运行具有专有模型的AI驱动服务的组织可能面临知识产权盗窃风险，特别是如果他们的模型或推理服务通过配置错误的API暴露。

技术细节分析

根据NVIDIA Riva快速入门指南，初始化脚本会从NVIDIA Artifact Registry下载必要的容器镜像和AI模型。启动成功后，Riva服务器在端口50051上监听gRPC连接。

容器向主机开放的多个暴露端口在0.0.0.0（所有IP地址）上监听。此网络设置等效于docker –network host参数，在没有任何防火墙设置的情况下，将对所有人可访问。

Riva gRPC API协议随附启用了gRPC反射，允许所有人识别服务类型并重建二进制协议。即使提供了config.sh中的所有证书参数，gRPC服务器也只强制TLS/SSL连接并加密客户端和服务器之间的流量。这意味着您将能够验证服务器是否如其声称的那样，但没有人会验证客户端，每个人都能使用该服务。

Riva服务器内部与Triton推理服务器通信，实际上只是将API请求转换为Triton推理服务器理解的语言。由于容器配置，这些端口暴露了Triton推理服务器二进制文件：

• REST API端点（默认8000）
• gRPC API端点（默认8001）
• HTTP指标端点（默认8002）（仅/metrics端点）

这使得REST和gRPC Triton推理服务器API对所有人可用。因此，即使成功保护了Riva服务器gRPC端点，仍然可以通过将请求转换到Triton推理服务器端点来完全绕过。

影响范围

扩展我们之前的研究，我们发现了54个唯一IP地址暴露了其NVIDIA Riva服务，所有这些都属于多个云服务提供商。

安全建议

我们建议所有Riva服务管理员检查其配置以防止意外服务暴露，并确保他们运行最新版本的Riva框架。除了NVIDIA的最佳实践外，考虑实施以下安全措施：

• 实施安全的API网关，仅暴露预期的gRPC或REST API端点
• 应用网络分段，限制对Riva服务器和Triton推理服务器的访问到受信任的网络
• 要求强认证机制并强制执行基于角色的访问控制
• 审查和修改容器设置以禁用不必要的服务，删除未使用的端口，并限制特权执行
• 在Riva和Triton推理服务器上启用日志记录和监控
• 考虑速率限制和API请求节流
• 保持Riva框架、Triton推理服务器和依赖项最新

趋势微防护

云风险管理主动检测云部署中的意外网络暴露，类似于我们发现的暴露情况。云风险管理ID EC2-016和EC2-001是防止此类暴露的安全检查示例。

EC2-016可帮助确保Amazon EC2默认安全组限制所有入站公共流量，以强制AWS用户创建执行最小权限原则（POLP）的自定义安全组，而不是使用默认安全组。

EC2-001可帮助确保Amazon EC2安全组没有为入站流量开放端口范围，以保护关联的EC2实例免受拒绝服务（DoS）攻击或暴力攻击。云风险管理强烈建议仅根据应用程序要求在安全组中开放特定端口。