Vulnerabilidad crítica en Ollama expone memoria de proceso a atacantes remotos no autenticados

Introducción

En los últimos días, investigadores de ciberseguridad han revelado una grave vulnerabilidad que afecta a Ollama, una popular plataforma de implementación y gestión de modelos de inteligencia artificial (IA) en servidores. El fallo, identificado como CVE-2026-7482 y bautizado como “Bleeding Llama” por Cyera, permite a un atacante remoto y no autenticado acceder a la memoria de proceso completa de Ollama. Esta vulnerabilidad ha recibido un CVSS de 9.1, situándola entre los riesgos más críticos del panorama actual y afectando potencialmente a más de 300.000 servidores a nivel global.

Contexto del Incidente o Vulnerabilidad

Ollama se ha consolidado como una herramienta clave para desarrolladores y equipos de datos, facilitando la ejecución y el despliegue de modelos de IA a escala. Su adopción masiva, especialmente en entornos cloud y on-premise, ha incrementado exponencialmente la superficie de ataque. El descubrimiento del fallo se produce en un contexto en el que las tecnologías de IA están siendo cada vez más integradas en infraestructuras críticas y procesos empresariales, lo que eleva el riesgo de exposición a amenazas avanzadas.

La vulnerabilidad fue detectada por el equipo de Cyera durante un análisis rutinario de seguridad en instancias públicas de Ollama. El fallo reside en un error de lectura fuera de límites (out-of-bounds read) en la gestión de ciertas peticiones HTTP al servicio. Este tipo de vulnerabilidades suelen ser altamente explotables y pueden derivar en la fuga de información sensible o incluso permitir la escalada de privilegios dependiendo del contexto de explotación.

Detalles Técnicos

La vulnerabilidad CVE-2026-7482 se manifiesta a través de una implementación incorrecta en la gestión de buffers durante la manipulación de solicitudes HTTP. Un atacante puede enviar una petición especialmente diseñada para provocar que Ollama lea datos fuera de los límites del búfer asignado, exponiendo así fragmentos arbitrarios de la memoria del proceso.

– **Versiones afectadas**: Se ha confirmado el impacto en todas las versiones de Ollama hasta la 1.3.5. Las versiones posteriores a esta incluyen un parche que mitiga la vulnerabilidad.
– **Vectores de ataque**: El fallo puede ser explotado de manera remota sin necesidad de autenticación, lo que amplifica significativamente el riesgo.
– **TTP MITRE ATT&CK**: El incidente se alinea con la táctica “Exfiltration Over Alternative Protocol” (ID T1048) y la técnica “Exploitation for Data Exfiltration” (T1210).
– **Indicadores de Compromiso (IoC)**: Se han identificado patrones de tráfico HTTP anómalos, con solicitudes que provocan respuestas de tamaño inusual y posibles fragmentos de memoria en el cuerpo de la respuesta.
– **Exploits conocidos**: Ya circulan pruebas de concepto (PoC) en plataformas como Metasploit, y se han detectado escaneos automáticos a gran escala buscando servidores Ollama vulnerables.

Impacto y Riesgos

El impacto potencial de “Bleeding Llama” es considerable. La exposición de la memoria del proceso puede incluir credenciales, tokens de sesión, configuraciones internas y hasta fragmentos de modelos de IA propietarios. En entornos multiusuario, la fuga de información podría escalar a la exfiltración de datos entre diferentes inquilinos o workloads.

Un análisis preliminar de Cyera estima que más de 300.000 servidores Ollama expuestos a internet podrían verse afectados. Según datos de Shodan, el 42% de los servidores identificados aún no han aplicado el parche de seguridad. La explotación masiva podría derivar en pérdidas económicas significativas, incumplimiento de normativas como GDPR o NIS2, y daños reputacionales severos.

Medidas de Mitigación y Recomendaciones

Ante la gravedad del fallo, se recomienda a administradores y equipos de seguridad:

– **Actualizar inmediatamente** Ollama a la versión 1.3.6 o superior, donde el error de gestión de buffers ha sido corregido.
– **Implementar reglas de firewall** para restringir el acceso al servicio solo a direcciones IP y redes de confianza.
– **Monitorizar logs** en busca de patrones de solicitud inusuales o errores de lectura fuera de rango.
– **Aplicar segmentación de red** para aislar los servicios de Ollama de accesos externos no autorizados.
– **Realizar auditorías de seguridad** post-explotación para detectar exfiltración de datos o accesos no autorizados recientes.

Opinión de Expertos

Raúl Jiménez, analista de amenazas en una consultora de ciberseguridad, advierte: “El carácter no autenticado de la vulnerabilidad y la facilidad de explotación convierten a Bleeding Llama en una de las amenazas más serias del año para sistemas de IA. La rápida aplicación de parches es fundamental para evitar una oleada de ataques automatizados”.

Por su parte, Alicia Gómez, CISO de una multinacional del sector financiero, subraya: “Vemos una tendencia preocupante en la seguridad de las plataformas de IA, donde los mecanismos de control de acceso y la robustez del código no siempre están a la altura de la sensibilidad de los datos que manejan”.

Implicaciones para Empresas y Usuarios

El incidente pone de relieve la necesidad de una gestión proactiva de vulnerabilidades en entornos de IA. Las empresas deben considerar la integración de herramientas de escaneo continuo, políticas de actualización automática y la formación específica para sus equipos sobre los riesgos emergentes en plataformas de machine learning.

A nivel regulatorio, la exposición de datos personales o confidenciales en memoria puede suponer severas sanciones bajo el marco GDPR y la inminente directiva NIS2, que amplía las obligaciones de notificación y resiliencia ante incidentes de seguridad.

Conclusiones

El descubrimiento de “Bleeding Llama” en Ollama refuerza la urgencia de reforzar la seguridad en plataformas de IA y machine learning, especialmente en contextos donde la confidencialidad y la integridad de los datos son críticas. La rápida respuesta a la vulnerabilidad es esencial, pero también lo es la adopción de una mentalidad de “security by design” para evitar que fallos similares comprometan la innovación tecnológica y la confianza del mercado.

(Fuente: feeds.feedburner.com)