Celah di Framework Ollama AI Buka Jalan bagi DoS dan Model Theft

Para peneliti keamanan siber baru-baru ini menemukan enam celah kritis pada framework kecerdasan buatan atau Artificial Intelligence (AI) Ollama yang dapat digunakan oleh pelaku jahat untuk melancarkan berbagai serangan, termasuk serangan denial-of-service (DoS), pencurian model, dan poisoning model. Celah-celah ini memungkinkan penyerang melakukan aksi berbahaya dengan hanya satu permintaan HTTP, dan Ollama direkomendasikan untuk segera memperkuat pertahanan framework-nya.

Avi Lumelsky, seorang peneliti di Oligo Security, menjelaskan bahwa kombinasi dari keenam kerentanan ini membuat Ollama rentan terhadap berbagai serangan berbahaya. Ollama sendiri adalah aplikasi open-source yang dirancang untuk menjalankan large language model (LLM) secara lokal di berbagai sistem operasi seperti Windows, Linux, dan macOS. Popularitasnya cukup tinggi di kalangan pengembang dengan jumlah fork di GitHub mencapai 7.600 kali. Namun, tingginya penggunaan ini juga berarti banyak pengguna yang rentan terkena dampak dari celah keamanan ini.

Berikut adalah rincian dari masing-masing celah yang ditemukan:

1. CVE-2024-39719: Celah ini memiliki skor CVSS 7.5 dan memungkinkan penyerang untuk mengeksploitasi endpoint /api/create guna memverifikasi keberadaan file tertentu di server. Bug ini telah diperbaiki dalam versi 0.1.47.
2. CVE-2024-39720: Dengan skor CVSS 8.2, celah ini memungkinkan serangan out-of-bounds read yang bisa membuat aplikasi crash dan menciptakan kondisi DoS melalui endpoint /api/create. Versi 0.1.46 telah memperbaiki kerentanan ini.
3. CVE-2024-39721: Celah ini memiliki skor CVSS 7.5 dan menyebabkan kehabisan sumber daya yang berujung pada DoS saat endpoint /api/create dipanggil berulang kali dengan file "/dev/random" sebagai input. Bug ini telah diperbaiki dalam versi 0.1.34.
4. CVE-2024-39722: Kerentanan path traversal pada endpoint api/push memungkinkan penyerang melihat file-file di server dan seluruh struktur direktori yang digunakan oleh Ollama. Kerentanan ini telah diperbaiki dalam versi 0.1.46.
5. Kerentanan kelima, yang belum memiliki CVE identifier, memungkinkan model poisoning melalui endpoint /api/pull dari sumber yang tidak terpercaya. Sayangnya, celah ini belum ditambal, dan hingga kini masih aktif.
6. Kerentanan keenam juga belum memiliki CVE identifier dan memungkinkan pencurian model AI melalui endpoint /api/push ke target yang tidak terpercaya. Sama seperti kerentanan sebelumnya, bug ini juga belum mendapatkan tambalan.

Untuk mencegah penyalahgunaan, Ollama menyarankan agar pengguna membatasi akses publik terhadap endpoint tertentu melalui proxy atau firewall aplikasi web. Menurut Lumelsky, asumsi bahwa semua endpoint aman untuk diakses adalah keliru, dan banyak pengguna mungkin belum menyadari pentingnya menyaring rute HTTP untuk Ollama. Ini dapat meningkatkan risiko jika server Ollama terbuka untuk publik.

Hingga saat ini, Oligo Security melaporkan sekitar 9.831 instance Ollama yang terbuka di internet, dengan sebagian besar berada di negara-negara seperti China, Amerika Serikat, Jerman, Korea Selatan, Taiwan, Prancis, Inggris, India, Singapura, dan Hong Kong. Data ini juga menunjukkan bahwa satu dari empat server Ollama yang terbuka di internet dianggap rentan terhadap kerentanan yang ditemukan.

Temuan ini mengikuti laporan sebelumnya dari perusahaan keamanan cloud Wiz, yang empat bulan lalu mengungkapkan celah serius di Ollama dengan kode CVE-2024-37032. Celah ini memungkinkan eksekusi kode jarak jauh, yang berpotensi membuka pintu bagi serangan yang lebih besar. Lumelsky mengingatkan bahwa membuka akses Ollama ke internet tanpa otorisasi sama berbahayanya dengan membuka soket Docker ke publik. Ini karena penyerang bisa memanfaatkan fitur unggah file serta model pull dan push untuk menyisipkan konten yang berbahaya.

Para pengguna yang masih menggunakan versi lama Ollama disarankan untuk segera memperbarui framework mereka ke versi terbaru dan memastikan bahwa endpoint yang rentan tidak diakses secara publik. Pengguna juga disarankan untuk menerapkan lapisan keamanan tambahan, seperti penggunaan firewall aplikasi web, agar akses ke endpoint Ollama dapat dikontrol dengan lebih ketat.

Di tengah meningkatnya popularitas Ollama, kesadaran akan keamanan siber menjadi sangat penting. Framework AI ini memang memiliki potensi besar untuk mendukung pengembangan teknologi di berbagai sektor, tetapi tanpa pengamanan yang kuat, penggunaannya dapat berbalik menjadi risiko. Terlepas dari keunggulannya dalam mendukung LLM secara lokal, Ollama perlu terus memperbarui sistem keamanannya dan memberikan panduan yang jelas kepada penggunanya tentang bagaimana mengamankan server mereka dari eksploitasi yang dapat terjadi.

Dengan memperbaiki celah yang ada dan meningkatkan keamanan, Ollama dapat menjadi platform yang lebih aman bagi pengembang dan perusahaan yang menggunakannya.