Fallo crítico en Google Cloud Vertex AI SDK permite secuestro de modelos y ejecución remota de código

1. Introducción

Recientemente, investigadores de la unidad Unit 42 de Palo Alto Networks han desvelado una vulnerabilidad de alta gravedad en el SDK de Google Cloud Vertex AI para Python. Este fallo, apodado “Pickle in the Middle”, ha levantado una considerable preocupación entre los equipos de ciberseguridad y los responsables de infraestructuras cloud, ya que podría permitir a un atacante sin privilegios sobre el proyecto de la víctima secuestrar el proceso de subida de modelos de aprendizaje automático y ejecutar código arbitrario dentro de la infraestructura de Google. Aunque no se han detectado casos de explotación activa, la naturaleza de la vulnerabilidad y su potencial impacto exigen una revisión técnica detallada y la adopción inmediata de medidas de mitigación.

2. Contexto del Incidente o Vulnerabilidad

Vertex AI es la plataforma gestionada de Google Cloud para el desarrollo, despliegue y operación de modelos de machine learning. El SDK de Vertex AI para Python facilita la interacción programática con estos servicios, permitiendo a científicos de datos y desarrolladores automatizar flujos de trabajo relacionados con el ciclo de vida de los modelos. La popularidad de Vertex AI ha crecido exponencialmente, integrándose en infraestructuras críticas de grandes organizaciones y sectores altamente regulados.

La vulnerabilidad fue reportada a través del programa de bug bounty de Google, lo que permitió una respuesta coordinada antes de su divulgación pública. La técnica “Pickle in the Middle” hace referencia a la manipulación de archivos pickle, un formato de serialización de objetos Python conocido por sus riesgos inherentes cuando se gestiona contenido de fuentes no confiables.

3. Detalles Técnicos

La vulnerabilidad afecta a versiones específicas del SDK de Vertex AI para Python, concretamente a aquellas anteriores a la release que corrige el fallo (identificador pendiente de CVE público al cierre de este artículo). El problema radica en la falta de validación y aislamiento adecuado durante la carga y deserialización de modelos pickle al utilizar las funciones de subida de modelos personalizados.

Vector de ataque: un atacante puede interceptar o inyectar un archivo pickle malicioso en el flujo de subida de modelos, aprovechando la confianza implícita del SDK en la procedencia del archivo. Cuando el entorno de Vertex AI procesa el modelo, se ejecuta código Python arbitrario contenido en el pickle malicioso, permitiendo la ejecución remota en la infraestructura gestionada de Google.

TTPs (MITRE ATT&CK):
– T1190 (Exploit Public-Facing Application): El atacante explota un servicio expuesto, en este caso, la API de subida de modelos.
– T1059.006 (Command and Scripting Interpreter: Python): La ejecución de código malicioso mediante deserialización de pickle.
– T1071 (Application Layer Protocol): Uso de canales legítimos para transferir cargas maliciosas.

Indicadores de Compromiso (IoC):
– Subidas inusuales de archivos pickle en logs de Vertex AI.
– Trazas de ejecución de código no esperado durante la inicialización de nuevos modelos.
– Conexiones externas iniciadas desde instancias de Vertex AI tras el despliegue de un modelo.

Exploit conocido: Aunque no se han publicado exploits públicos ni se ha observado explotación activa, el vector es trivial de reproducir mediante frameworks como Metasploit o scripts personalizados de Python, dada la naturaleza del fallo.

4. Impacto y Riesgos

El principal riesgo reside en la posibilidad de ejecución remota de código dentro de la infraestructura de Google, lo que podría desembocar en el compromiso de modelos, fuga de datos sensibles o incluso el movimiento lateral hacia otros recursos cloud. La explotación exitosa podría eludir controles de acceso a nivel de proyecto, exponiendo a organizaciones que confían en el aislamiento proporcionado por la plataforma.

La afectación es potencialmente masiva, considerando el volumen de cargas de trabajo de ML en Vertex AI. No existen cifras oficiales, pero estimaciones del sector sitúan el uso de Vertex AI en hasta un 25% de las grandes empresas que operan en Google Cloud.

En términos regulatorios, la explotación de esta vulnerabilidad podría suponer incumplimientos del GDPR y NIS2, especialmente si se ven comprometidos datos personales o infraestructuras críticas.

5. Medidas de Mitigación y Recomendaciones

– Actualizar inmediatamente el SDK de Vertex AI para Python a la última versión disponible.
– Revisar logs de subida de modelos en busca de actividad sospechosa.
– Implementar controles adicionales de validación y autenticación en los workflows de subida de modelos.
– Limitar el uso de archivos pickle a contextos altamente controlados y considerar formatos alternativos (ONNX, TensorFlow SavedModel).
– Monitorizar el comportamiento de los modelos recién desplegados para detectar ejecución de código anómalo.

6. Opinión de Expertos

Especialistas en ciberseguridad cloud advierten que los riesgos asociados a la deserialización insegura de pickle son bien conocidos, pero persisten debido a la comodidad y flexibilidad del formato. “Los entornos gestionados deben reforzar sus validaciones, ya que la confianza ciega en el aislamiento de la infraestructura puede generar una falsa sensación de seguridad”, apunta un analista de amenazas de una consultora europea.

7. Implicaciones para Empresas y Usuarios

Las organizaciones que utilicen Vertex AI deben considerar este incidente como una llamada de atención sobre los riesgos de la cadena de suministro de modelos y las dependencias de SDKs de terceros. Los equipos de seguridad deben reforzar las auditorías de sus pipelines de machine learning, incluir escaneos de artefactos y revisar las políticas de control de acceso. Los usuarios finales podrían verse afectados indirectamente si se comprometen modelos que procesan datos sensibles o que participan en decisiones automatizadas críticas.

8. Conclusiones

El incidente de “Pickle in the Middle” evidencia la necesidad de una aproximación holística a la seguridad en entornos de machine learning, donde la deserialización y la automatización representan vectores de ataque subestimados. La pronta respuesta de Google y la colaboración con la comunidad de investigadores han evitado, por el momento, campañas de explotación masiva, pero la vigilancia y las prácticas de desarrollo seguro deben intensificarse en todo el ecosistema MLaaS.

(Fuente: feeds.feedburner.com)