攻撃者がアドバイザリ発表から12時間以内にLMDeploy脆弱性を実際に悪用

LMDeployのビジョン言語モジュール内の重大なサーバーサイドリクエストフォージェリ（SSRF）脆弱性が、公開後わずか12時間31分でアクティブな攻撃に悪用され、概念実証コードの必要がありませんでした。

2026年4月21日、GitHubはセキュリティアドバイザリGHSA-6w67-hwm5-92mqを公表し、後にCVE-2026-33626に割り当てられた、上海AI研究所（InternLM）によって開発されたオープンソースツールキットであるLMDeployの高リスクSSRF欠陥（CVSS 7.5）です。このツールキットはビジョン言語とテキスト大規模言語モデル（LLM）を提供するために使用されています。

根本原因はlmdeploy/vl/utils.pyのload_image()関数にあります。この関数はAPIリクエストから画像URLをフェッチしますが、それらが内部またはプライベートネットワークアドレスを指しているかを検証しません。

これは、チャット完了リクエストを送信できる攻撃者が、任意の内部URLをフェッチするようサーバーに強制し、クラウドメタデータサービスやローカルデータベースなど、それらの内容を返すことができることを意味します。

最初の悪用までの12時間

Sysdig脅威研究チーム（TRT）によると、アドバイザリが公開された直後に脆弱なLMDeployインスタンスを実行するハニーポットを展開したところ、2026年4月22日UTC 03時35分に最初の悪用試行が観察されました。この試行はIPアドレス103.116.72.119から発生しており、香港コーロウンベイのプライムセキュリティコーポレーションに起因しています。

当時は公開の概念実証（PoC）は存在しませんでした。影響を受けるファイル、脆弱なパラメータ、および欠落している検証ロジックを名指しするアドバイザリテキストだけで、攻撃者は動作する悪用を構築するのに十分でした。

攻撃者は1つの8分間のセッション内で、3つのフェーズにわたって10個の異なるリクエストを実行しました：

• フェーズ1 – クラウドメタデータとRedisプローブ：攻撃者はAWSインスタンスメタデータサービス（IMDS）エンドポイント（169.254.169.254）を標的にしてIAM認証情報を盗み、その後127.0.0.1:6379でオープンなRedisポートを確認するようにピボットしました
• フェーズ2 – アウトオブバンド（OOB）確認：cw2mhnbd.requestrepo.com（OASTサービス）へのDNSコールバックにより、サーバーが無制限の外部送出を持っていることが確認され、ブラインドSSRFが検証されました
• フェーズ3 – 管理プレーンとlocalhostポートスイープ：攻撃者は/distserve/p2p_drop_connectをプローブしました。これはLMDeployの内部ZMQ推論ルーティングを中断できる認証されていないエンドポイントです。その後、36秒以内にループバックポート8080（HTTP）、3306（MySQL）、および80をスイープしました

CVE-2026-33626は危険なパターンを浮き彫りにしています。LMDeployのようなAI推論サーバーは通常、広いIAMロールを持つGPUクラウドインスタンスで実行され、S3モデルアーティファクト、トレーニングデータセット、および時にはクロスアカウント権限へのアクセスを付与します。

LMDeployがほぼ7,800のGitHubスターを持っているにもかかわらず、CISAの既知悪用脆弱性（KEV）カタログに表示されていません。これは、ニッチなAIインフラストラクチャツールがいかに標準的なエンタープライズスキャンワークフローを回避するかを示しています。

LMDeploy v0.12.3以降にアップグレードしてください。これはプライベートIPレンジおよびリンクローカルアドレスへのリクエストをブロックする_is_safe_url()チェックを導入しています。組織は以下のことも行うべきです：

• 推論API前に逆プロキシを配置して、内部URLを削除または書き直す
• GPUインスタンスに厳密な送出ファイアウォールルールを適用する
• すべてのAI提供ツール（vLLM、TGI、Ray Serve、LMDeploy）を正式なCVEスキャンプログラムの下でインベントリする

侵害の兆候（IOC）