CVE-2026-33626: 攻撃者が12時間でLMDeployLLM推論エンジンを悪用した方法

Sysdigの脅威研究チーム

悪用のタイムライン

インデックス付きGHSA公開と最初の悪用の間のギャップは12時間31分でした。攻撃時点で、GitHubまたは主要なエクスプロイトリポジトリ上に公開されたProof-of-Concept（PoC）コードは存在しませんでした。最近の複数のニッチターゲットケースと同様に、アドバイザリーテキスト自体に、影響を受けるファイル、パラメータ名、およびスキームまたはホスト検証の欠如を含む、ゼロから実行可能なエクスプロイトを構築するのに十分な詳細情報が含まれていました。

*注: リポジトリレベルのGHSAを検索する直接的な方法はありません。特定のリポジトリを監視する必要があります。そのため、Sysdig TRTは12時間のアドバイザリー対悪用タイムラインにリポジトリレベルのGHSA公開を含めていません。代わりに、アドバイザリーがメインのGitHubアドバイザリーページで公開されたときから時間が始まります。

LMDeploy脆弱性

LMDeployはビジョン言語モデル（VLM）、例えばInternVL2、internlm-xcomposer2、Qwen2-VLなどをOpenAI互換HTTPAPIを通じて提供する本番推論ツールキットです。チャット完了リクエストにimage_urlフィールドが含まれている場合、サーバーはそのURLを逆参照し、画像をモデルのコンテキストにロードします。

標準のOpenAIビジョンメッセージシェイプは次のとおりです：

{
"model": "internlm-xcomposer2",
"messages": [{
"role": "user",
"content": [
      {"type": "text", "text": "describe this"},
      {"type": "image_url", "image_url": {"url": "http://..."}}
    ]
  }]
}

ご覧のとおり、このコードにはホスト名解決チェック、プライベートネットワークブロックリスト、およびリンクローカルアドレスの保護がありません。http://またはhttps://スキーム（http://169.254.169.254/、http://127.0.0.1:3306、またはRFC 1918アドレスを含む）を持つURL は、サーバーによってフェッチされ、モデルに返されました。RedisやMySQLなどのバイナリプロトコルの場合、ポートが開いていることを確認するのに十分なエラー応答が返されました。

LMDeploy悪用の3つのフェーズ

8分間のセッションで、103.116.72.119は3つのフェーズにわたって10個の異なるリクエストを生成し、internlm-xcomposer2とOpenGVLab/InternVL2-8Bという2つのビジョン言語モデルを切り替えました。セッション中に モデルを切り替えることは、オペレータが疑わしい入力を拒否するいくつかのVLMを認識していることを示唆しており、両方のモデルをテストしています。

image_url: http[://]cw2mhnbd.requestrepo.com

GET /
GET /openapi.json
POST /v1/chat/completions  (model: OpenGVLab/InternVL2-8B, no image_url)

POST /distserve/p2p_drop_connect
body: {}

これがディフェンダーにとって何を意味するか

CVE-2026-33626は、過去6か月間のAIインフラストラクチャ空間で繰り返し観察されたパターンに適合しています：推論サーバー、モデルゲートウェイ、およびエージェントオーケストレーションツールの重大な脆弱性は、アドバイザリー公開の数時間以内に武器化されており、インストールベースのサイズまたは範囲に関係なく。例えば、LMDeployには7,798のGitHubスターがあり、vLLMやOllamaなどのメインストリームプロジェクトより1桁少なく、CISAの既知悪用される脆弱性（KEV）カタログに表示されません。

観察されたタイムラインは、Zero Day Clockプロジェクトおよびmarimoのプリオース前RCEに関する私ども自身の以前の調査で報告されたトレンドを拡張します。攻撃者は質量悪用ツールを待つことはもはやありません。アドバイザリーテキストは、注意深く読むと、エクスプロイトを作成するのに十分です。

Generative AI（GenAI）はこの崩壊を加速しています。GHSA-6w67-hwm5-92mq のようにアドバイザリーが具体的で、影響を受けるファイル、パラメータ名、根本原因の説明、およびサンプル脆弱コードが含まれている場合、実質的には任意の商用LLMに対して潜在的なエクスプロイトを生成するための入力プロンプトです。複数の最近のニッチターゲット悪用にわたってこのパターンを観察および報告しました：GHSAが公開され、実行可能なエクスプロイトが数時間以内に表示され、公開されたPoC は存在しませんでした。

脆弱な関数の名前を付けたり、欠落しているチェックを表示したり、影響を受けるコードパターンを引用したりするアドバイザリーは、有能なコード生成モデルの時代には、ターンキーエクスプロイトになります。CVE-2026-33626のターゲットがそれ自体LLM提供フレームワークであるという皮肉は副次的です。同じ加速がCVEランドスケープ全体に適用されます。

CVE-2026-33626をテキストブックSSRFと区別するのは、プリミティブがAIサービスノードで何をロック解除するかです：

• IAM認証情報およびクラウドメタデータ。ビジョンLLMノードは通常、広いIAMロール：S3モデルアーティファクト、トレーニングデータセット、頻繁にクロスアカウントassume-roleを持つGPUインスタンス上で実行します。1つの成功したIMDSフェッチはクラウドアカウントを妥協することができます。
• インクラスターデータストア。推論デプロイメントは通常、プロンプトキャッシング用のRedis、メータリング用のMySQL またはPostgres、および内部HTTP制御プレーンを付属しています。攻撃者のプローブ（127.0.0.1:6379、127.0.0.1:3306、127.0.0.1:8080）は、このトポロジーに直接マップします。
• モデルレベルのサービス拒否。distserve/p2p_drop_connectプローブは、攻撃者がLMDeployの分解サービングアーキテクチャを理解していたことを示しています：prerfill とdecodeエンジン間のZMQリンクを破棄することで、そのルートの推論が中断されます。
• ジェネリックHTTPプリミティブ。リモートコード実行（RCE）とは異なり、このSSRFは被害者のネットワーク内の読み取り専用HTTPクライアントであり、パブリックインターネットからアクセス可能です。より大きな操作の前の偵察のために、このアクセスは多くのコード実行バグより価値のあるフットホールドです。

多くのGPUホスト環境でのIP レベルの送出制御の欠如と組み合わせると、LMDeploy脆弱性で見られるバグのクラスは特に魅力的です。

侵害のインジケーター

ランタイム検出

この攻撃クラスのランタイム検出は、アプリケーションレイヤーとホストレイヤーの2つのレイヤーにあります。

アプリケーションレイヤーでは、ユーザー提供のコンテンツからURLをフェッチする推論サーバーは、すべての発信リクエストの解決IPをログに記録し、リンクローカル（169.254.0.0/16）、ループバック（127.0.0.0/8、::1）、またはRFC 1918プライベートレンジへのリクエスト、およびそれらのレンジ上の既知のサービスポート（6379 Redis、3306 MySQL、5432 Postgres、9200 Elasticsearch、2375/2376 Docker）に対する警告を発行する必要があります。ホストレイヤーでは、ランタイム検出はフレームワークに関係なく、悪用後の症状（推論プロセスからクラウドメタデータエンドポイントへの発信接続）をキャプチャします。

Sysdig Secureは、攻撃者が試みたまさにURLで発火するいくつかのFalcoルールをそのまま使用できます。GPUおよび推論ノードでSysdig Secureを実行しているチームは、ビジョン言語およびエージェントツール使用ワークロードのこれらの検出ルールを有効にする必要があります：

•   コンテナからEC2インスタンスメタデータサービスに接続
•   ホストからEC2インスタンスメタデータサービスに接続
•   コンテナからGCPインスタンスメタデータサービスに接続
•   ホストからGCPインスタンスメタデータサービスに接続
•   コンテナからAzureインスタンスメタデータサービスに接続
•   ホストからAzureインスタンスメタデータサービスに接続
•   タスクメタデータエンドポイントに接続

脆弱なリアルワールドのLMDeployインスタンスでは、IMDSエンドポイントへの攻撃者の最初のリクエストは、サーバー側のrequests.get()がIMDSエンドポイントに到達した瞬間にコンテナからEC2インスタンスメタデータサービスに接続ルールをトリガーし、アプリケーションレイヤーのログに関係なくトリガーします。

GCPおよびAzureルールは、それらのクラウド上で実行されている被害者に対して同じ方法で発火し、タスクメタデータエンドポイントに接続はECS/Fargateワークロードをカバーしており、IMDSは169.254.169.254ではなく169.254.170.2に住んでいます。

推奨事項

• 侵害を想定しましょう。
• LMDeployをv0.12.3以降に更新します。アップグレードが不可能な場合は、推論APIを逆プロキシの前に配置してimage_url値をストリップまたは書き換えるか、ビジョンモデルエンドポイント全体を無効化します。
• 推論ノードでIMDSv2を強制します。httpTokens=requiredを設定してIMDSv1を無効化します。これはこのバグのクラスの最も高いROI制御です：requests.get()SSRF プリミティブは必要なセッショントークン（最初にPUT /latest/api/tokenを発行する方法がない）を取得できません。httpPutResponseHopLimit=1でペアになり、コンテナがデフォルトブリッジネットワーク経由でIMDSに到達するのを防ぎます。
• 推論サーバーからのVPC/SGレベルでの送出送信を制限します。推論ノードは、モデルアーティファクトストレージ（S3、GCS）およびロギングエンドポイントのみに到達する必要があります。
• バージョン0.12.2以前のパブリックに到達可能なLMDeployデプロイメントに接続されているIAMロール認証情報をローテーションします。
• 推論ノードでの内部サービス露出を監査します。Redis、MySQL、および管理制御プレーンは、モデルサーバーが真の必要性がある場合にのみプライベートインターフェースにバインドし、関係なく認証を必要とします。
• 推論プロセスからリンクローカル、RFC 1918、またはループバックアドレスへの発信接続を監視します。これらは通常の操作でゼロである必要があります。
• AIインフラストラクチャツールをインベントリーします。モデル提供プラットフォーム（LMDeploy、vLLM、TGI、Ray Serve）は、標準セキュリティレビューの外側で頻繁にデプロイされ、開示後かなり後までCVEスキャンでカバーされていないことがよくあります。

結論

CVE-2026-33626は一貫したパターンに適合しています：推論およびエージェントフレームワークSSRF バグは、GHSA公開の数時間以内に武器化され、公開されたPoC を待つのではなくアドバイザリーから構築するオペレータによって。GitHubアドバイザリーページでの公開から最初に観察されたLMDeploy悪用の12時間31分は、「パッチチューズデー」の頻度と月次スキャンが十分な制御ではないほど短いです。攻撃者は単にバグを検証しませんでしたが、彼らは8分間の単一セッションでそれをポートスキャンプリミティブとして使用しました。

AIインフラストラクチャを実行するディフェンダーの場合、ビジョンLLM画像ローダー、エージェントツール使用エンドポイント、およびRAGフェッチャーは、明示的な送出フィルタリングが適用されない限り、デフォルトではSSRFの候補です。推論ホスト上のランタイム検出、厳格なVPC送出制御、および急速なパッチ応答は、武器化ウィンドウが数時間で測定される場合、最も効果的な制御のままです。