Una cadena de vulnerabilidad crítica en el servidor de inferencia Triton de NVIDIA que permite a los atacantes no autenticados lograr una ejecución completa del código remoto (RCE) y obtener el control total sobre los servidores AI.
La cadena de vulnerabilidad, identificada como CVE-2025-23319, CVE-2025-23320 y CVE-2025-233334, explota el backend de Python del servidor a través de un sofisticado proceso de ataque de tres pasos que implica manipulación de memoria compartida.
Control de llave
1. CVE-2025-23319 La cadena permite a los atacantes hacerse cargo de los servidores Nvidia Triton AI por completo.
2. Explota los mensajes de error para filtrar los nombres de memoria, luego abusa de la API de memoria compartida para la ejecución del código remoto.
3. Actualización de inmediato: afecta la infraestructura de implementación de IA ampliamente utilizada.
Vulnerabilidad La cadena se dirige al servidor de inferencia de Nvidia Triton
La cadena de vulnerabilidad se dirige a NVIDIA Triton Inference Server, una plataforma de código abierto ampliamente desplegado utilizada para ejecutar modelos de IA a escala en todas las empresas.
Investigación de Wiz de manera responsable revelado Los hallazgos a Nvidia con parches lanzados el 4 de agosto de 2025.
El ataque comienza con una fuga de información menor, pero se intensifica para completar el compromiso del sistema, planteando riesgos críticos, incluido el robo de modelos de IA patentados, exposición de datos confidenciales, manipulación de respuestas del modelo de IA y proporcionando a los atacantes puntos de esbozos de red.
La vulnerabilidad afecta específicamente al backend de Python, uno de los backends más populares y versátiles en el ecosistema Triton.
Este backend no solo sirve modelos escritos por pitón, sino que también actúa como una dependencia para otros backends, ampliando significativamente la posible superficie de ataque.
Las organizaciones que usan Triton para operaciones de IA/ML enfrentan amenazas inmediatas para su propiedad intelectual y seguridad operativa.
La cadena de ataque emplea un método de explotación sofisticado de comunicación entre procesos (IPC) a través de regiones de memoria compartidas ubicadas en/dev/shm/.
El paso 1 implica activar una vulnerabilidad de divulgación de información a través de solicitudes grandes diseñadas que causan excepciones, revelando el nombre interno de memoria compartida del backend en mensajes de error como “no pudo aumentar el tamaño de la grupo de memoria compartida para la clave ‘Triton_python_Backend_Shm_region_4f50C226-B3D0-46E8-AC59-D4690B2859 ′”.
El paso 2 explota la API de memoria compartida de Triton, que carece de una validación adecuada para distinguir entre regiones legítimas propiedad del usuario y las internas privadas.
Los atacantes pueden registrar la clave de memoria compartida interna filtrada a través del punto final de registro, obteniendo primitivas de lectura/escritura en la memoria privada del backend de Python que contiene estructuras de datos críticas y mecanismos de control.
Cadena de vulnerabilidad de Nvidia Triton
El paso 3 aprovecha este acceso de memoria a las estructuras de datos corruptas de los datos existentes, manipulan punteros como MemoryShm y SendMessageBase para el acceso a la memoria fuera de los límites y elabore mensajes IPC maliciosos para lograr la ejecución de código remoto.
NVIDIA ha lanzado parches en Triton Inference Server versión 25.07, y las organizaciones deben actualizarse de inmediato.
La vulnerabilidad afecta tanto el servidor principal como los componentes de backend de Python, que requieren actualizaciones integrales en todas las implementaciones.
Los clientes de Wiz pueden utilizar consultas de detección especializadas a través de la página de resultados de vulnerabilidad y el gráfico de seguridad para identificar instancias vulnerables, incluidas máquinas virtuales, funciones sin servidor y contenedores.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
