Nvidiaが重大なRCE脆弱性チェーンにパッチを適用

出典：Alan Mazzocco（Shutterstock経由）

Nvidiaは、Triton Inference Serverに存在する3つの脆弱性にパッチを適用しました。これらを組み合わせることで、認証されていないリモート攻撃者がサーバーを完全に制御し、任意のコードを実行できるようになります。

これらのバグはCVE-2025-23319、CVE-2025-23320、CVE-2025-23334として追跡されており、重大・中程度・低リスクの17件のバグの一部です。Nvidiaは今週、これらに対するパッチを公開しました。これらの脆弱性は、GPUやAIインフラストラクチャツールの大手プロバイダーであるNVIDIAが、拡大するソフトウェアエコシステムで最近対処しなければならなかったCVEの比較的長く増加し続けているリストに加わるものです。

Triton Inference Serverは、モデル推論タスクを処理するオープンソースのプラットフォームです。これは、ユーザーからの入力データを受け取り、TensorFlow、PyTorch、ONNXなどのディープラーニングフレームワークで構築されたAIモデルに通すプロセスです。Tritonは、推論リクエストを適切なAIモデルにルーティングし、画像認識、音声翻訳、不正検出などの出力を生成する、いわばスマートな郵便仕分けセンターのような役割を果たします。

重大な脆弱性チェーン

Wizの研究者は、TritonのPythonバックエンド（Pythonや他のプログラミング言語で記述されたAIモデルを実行するためのもの）において、この脆弱性チェーンを発見しました。彼らは5月にNvidiaへこの脆弱性を報告しました。

Wizのリサーチ責任者であるNir Ohfeld氏は、CVE-2025-23319を情報漏洩の脆弱性と説明しています。攻撃者は、細工されたリクエストを使用して、脆弱なTritonサーバー上の内部プライベート共有メモリ領域の一意の名前を取得できます。攻撃者はその漏洩した名前を使ってCVE-2025-23320を悪用し、その特定のメモリ領域への完全な読み書きアクセスを得ることができます。その読み書きアクセスを利用して、攻撃者はCVE-2025-23334を活用し、サーバーのメモリ内の内部データ構造を破壊したり、制御メッセージを操作したりして、最終的に完全なリモートコード実行（RCE）に至るとOhfeld氏は述べています。

「これは、TritonをAI/MLに利用している組織にとって重大なリスクです。攻撃が成功すれば、貴重なAIモデルの窃取、機密データの漏洩、AIモデルの応答の操作、攻撃者がネットワーク内部に侵入する足がかりとなる可能性があります」とOhfeld氏は、今週別途公開したブログ記事で脅威をまとめています。

より広範な脅威

新たなTritonの脆弱性は、組織が今やセキュリティ対策に組み込むべき、より広範かつ急速に拡大するAI関連の脅威カテゴリーを浮き彫りにしています。TritonのようなAIツールが重要なビジネスワークフローに深く組み込まれることで、多くの組織の攻撃対象領域は、従来のセキュリティ戦略では必ずしも対応できない形で拡大しています。新たなリスクには、AIサプライチェーンの完全性、モデルポイズニング、プロンプトインジェクション、およびデータ漏洩が含まれます。

Ohfeld氏は、攻撃者がRCEに至るには、3つの脆弱性すべてを特定の順序で連鎖させる必要があると指摘しています。それぞれのステップが次のステップを可能にします。CVE-2025-23319単体では、低リスクの情報漏洩です。その主な危険性は、攻撃の次の段階に必要な鍵を提供する点にあります。同様に、他の2つの脆弱性（CVE-2025-23320およびCVE-2025-23334）は、最初のステップで情報漏洩がなければ悪用できません。「攻撃者は、まずその一意の名前を知らなければ、内部メモリを悪用できません」と彼は指摘します。

Ohfeld氏によれば、脅威を軽減する最善の方法は、組織がNVIDIA Triton Inference ServerおよびそのPythonバックエンドの両方を、直ちに新たにパッチが適用されたバージョン25.07にアップデートすることです。Wizも、顧客が自分たちの環境で脆弱なインスタンスを検出し対処するためのガイダンスを公開しています。

攻撃の容易さという観点では、最初のステップ――情報漏洩の引き起こし――は憂慮すべきほど簡単です。リモートの未認証の攻撃者は、事前のアクセスを必要とせず、インターネット上で公開されているTriton Inference Serverインスタンスをスキャンするだけで悪用可能です。「情報漏洩からRCEまでの完全なチェーンを完了するには技術的なスキルが必要ですが」とOhfeld氏は述べています。「攻撃開始の障壁が低いため、公開されているサーバーは重大な標的となります。」