LMDeployの新しいサーバー側リクエスト偽造(SSRF)脆弱性(CVE-2026-33626として追跡)は、公開GitHubアドバイザリが公開されてからわずか12時間31分後に、実際の攻撃で悪用されました。
LMDeployは上海AI実験室のInternLMプロジェクトによって開発されたツールキットで、OpenAI互換APIを通じてビジョンランゲージおよびテキストLLMを提供するために使用されており、InternVL2、internlm-xcomposer2、Qwen2-VLなどのモデルをホストするために広く使用されています。
2026年4月21日、GitHubはアドバイザリGHSA-6w67-hwm5-92mqを公開し、後にCVE-2026-33626として割り当てられ、LMDeployのビジョンランゲージイメージローダーのSSRF問題について説明しました。
これにより、攻撃者はモデルサーバーに内部ネットワーク、クラウドメタデータサービス、またはインターネットに直接公開されていない他の保護されたエンドポイントへのHTTPリクエストを強制することができます。
試みはアドバイザリがメインのGitHubアドバイザリページに表示されてからわずか12時間31分後に行われましたが、その時点では一般的なリポジトリに公開されたプルーフオブコンセプト悪用コードが存在していませんでした。
これはAIインフラストラクチャ攻撃の増加するパターンを強化するもので、敵がパブリックPoC(プルーフオブコンセプト)を待つことなく、アドバイザリの詳細を直接動作する悪用に迅速に変換しています。
8分間のセッション中の攻撃者のアクティビティは、一度限りのバグチェックではなく、汎用HTTPSSRFプリミティブとしてLMDeployのビジョンイメージローダーを意図的に武器化したことを示しています。
初期リクエストはIAM認証情報の流出を試みるため169.254.169.254のAWSインスタンスメタデータサービス(IMDS)を対象としており、その後はローカルホストのポート6379のRedisおよびポート3306のMySQLに対するプローブが続き、またポート8080および80の二次HTTP管理インターフェースの可能性もあります。
また、攻撃者はrequestrepo.comでホストされているアウトオブバンドDNS/HTTPコールバックドメインを使用して、ブラインドSSRFおよび送信機能を確認しました。これは最新のアプリケーションセキュリティテストおよび悪用における一般的な手法です。
偵察を超えて、攻撃者は/distserveの下の認証されていない管理エンドポイントを呼び出すことによってLMDeployの分散サービング平面をプローブし、内部モデルエンジン接続を破壊し、推論を低下させることを試みました。
これはLMDeployの分散型アーキテクチャに対する認識を示しており、AI提供コンポーネントのSSRFが可用性とラテラルムーブメントリスクにいかに迅速にピボットできるかを強調しています。
CVE-2026-33626は複数のベンダーによって高い深刻度(CVSS 7.5)と評価されており、0.12.3より前のLMDeployバージョンに影響します。
パッチされたリリースは、リンクローカル、ループバック、およびプライベートRFC1918範囲へのリクエストをブロックするためにより厳密なURLセーフティチェックを導入し、内部ポートスキャニングとメタデータアクセスベクトルを塞ぎます。
LMDeployまたは同様のAI推論スタックを実行しているセキュリティチームは、LMDeploy v0.12.3以降にアップグレードし、クラウドインスタンスでトークン要件を使用してIMDSv2を実施し、GPUおよび推論ノードからのアウトバウンド送信をオブジェクトストレージとロギングエンドポイントなどの必要な宛先のみに制限するよう強く勧められます。
公開から数時間以内に悪用が観察されているため、定期的なパッチサイクルと遅い対応プロセスは、急速に変動するSSRF駆動攻撃からAI提供インフラストラクチャを保護するには益々不十分になっています。
翻訳元: https://cyberpress.org/new-lmdeploy-vulnerability/