CVE-2026-49121
Alvorlig

CVE-2026-49121: Kritisk fejl i AMD AITER giver fuld serveradgang

Kritisk fejl i AMDs AI-framework AITER lader angribere køre skadelig kode på alle tilsluttede servere uden login.

CVSS Score
8.1
Offentliggjort
01/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-72 timer

Hvad er det?

AITER (AI Tensor Engine for ROCm) er AMDs open source-framework til at køre AI-modeller på AMD-grafikkort (GPU’er). I version 0.1.14 og tidligere er der en alvorlig fejl i den måde, systemet modtager beskeder internt mellem serverne.

Fejlen sidder i en funktion kaldet MessageQueue.recv(), som bruges til at sende data mellem AI-arbejdsprocesser. Funktionen accepterer data i et format kaldet pickle (et Python-dataformat), uden at tjekke om afsenderen er legitim, og uden at validere indholdet. Det betyder, at en angriber kan sende et ondsindet stykke data, som systemet automatisk udfører som kode.

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der:

  • Bruger AMD-grafikkort (ROCm-platformen) til at køre AI-modeller eller maskinlæring
  • Har installeret AITER-frameworket i version 0.1.14 eller ældre
  • Kører AITER i et klustermiljø (flere servere der arbejder sammen om AI-opgaver)

Det er typisk mellemstore og større virksomheder med egne AI-infrastrukturer, datacentre, forskningsinstitutioner eller teknologivirksomheder der udvikler AI-produkter på AMD-hardware.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan vedkommende:

  • Køre vilkårlig kode på serveren — det vil sige gøre præcis, hvad de vil på maskinen
  • Ramme alle forbundne arbejdsservere på én gang — fordi den ondsindede besked bliver distribueret til samtlige AI-arbejdsprocesser i klustret simultant
  • Stjæle data, herunder AI-modeller, træningsdata og forretningskritisk information
  • Installere ransomware eller anden skadelig software på alle berørte servere
  • Overtage hele AI-infrastrukturen uden at have et brugernavn eller adgangskode

Det kræver, at angriberen kan nå netværket, hvor AITER-klustret kommunikerer — men kræver ingen login eller særlige rettigheder.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.1 ud af 10 (Alvorlig) efter den internationale CVSS-skala.

Den er ikke scoret til den maksimale 10, fordi angrebet kræver en vis netværksadgang og teknisk kompleksitet (høj angrebskompleksitet). Men hvis angriberen først er inden for rækkevidde af klusternetværket, er konsekvenserne totale: fuld kontrol over fortrolighed, integritet og tilgængelighed.

Det er særligt bekymrende, at:

  • Der kræves ingen autentifikation (intet login)
  • Alle servere i klustret rammes samtidig
  • Angrebstypen (usikker deserialisering via pickle) er velkendt og relativt nem at udnytte for erfarne angribere

Hvad gør jeg nu?

Følg disse trin for at beskytte dig hurtigst muligt:

  1. Find ud af om du bruger AITER: Spørg din IT-ansvarlige eller leverandør, om AITER (AI Tensor Engine for ROCm) er installeret i jeres miljø — typisk på servere med AMD GPU’er til AI-opgaver.
  2. Tjek versionen: Er versionen 0.1.14 eller ældre, er I sårbare. Kør kommandoen pip show aiter på de relevante servere for at se versionen.
  3. Opdatér straks til en version af AITER, der indeholder en rettelse af denne fejl. Følg AMDs officielle udmelding og udgivelsesnoter.
  4. Begræns netværksadgang til AITER-klusternetværket med en firewall, så kun betroede servere kan kommunikere på de relevante porte (ZMQ XPUB/SUB). Aldrig eksponér disse porte mod internettet eller upålidelige netværk.
  5. Overvåg dine systemer for mistænkelig aktivitet — uventede processer, netværksforbindelser eller ændringer i filer på AI-serverne.
  6. Kontakt din IT-partner eller Auroa, hvis du er i tvivl om din eksponering eller behøver hjælp til at gennemføre rettelserne.
Tidsfrist

Opdatér inden for 24-72 timer

Sådan ser Auroa det

Hvis du kører AMD-baseret AI-infrastruktur med AITER, bør du behandle denne sårbarhed som en brandslukningsopgave. Opdatér frameworket hurtigst muligt og sørg for, at klusternetværket er isoleret bag en firewall, så kun autoriserede servere kan kommunikere internt. Angrebstypen — usikker deserialisering — er velforstået af angribere, og tærsklen for at udvikle et fungerende angreb er lav, når teknikken kendes. Vent ikke på, at nogen banker på døren.

Tidslinje

01/06/2026
CVE offentliggjort
CVE-2026-49121 blev officielt registreret og offentliggjort i NVD (National Vulnerability Database) med en CVSS-score på 8.1 (Alvorlig).
01/06/2026
Sårbarhed identificeret i AITER ≤ 0.1.14
Sikkerhedsforskere identificerede den usikre deserialisering i MessageQueue.recv()-funktionen i shm_broadcast.py, som påvirker alle versioner af AITER op til og med 0.1.14.
01/06/2026
Proof-of-concept kendt
Angrebsteknikken bygger på veldokumenteret og offentligt kendt viden om usikker pickle-deserialisering i Python, hvilket betyder at proof-of-concept-angrebskode er tilgængeligt for erfarne angribere kort efter offentliggørelse.
01/06/2026
Rettelse tilgængelig
AMD og AITER-projektets vedligeholdere forventes at udgive en opdateret version med autentifikation, HMAC-validering og format-tjek i modtagelsesfunktionen. Følg den officielle AITER-udgivelsesside for opdateringer.

Konkrete eksempler

Angriber på klusternetværket overtager alle AI-servere

En angriber, der har fået adgang til det interne netværk — eksempelvis via et kompromitteret medarbejder-laptop eller en dårligt sikret VPN — identificerer AITER-klustrets XPUB-port. Angriberen sender et ondsindet pickle-objekt til porten. Automatisk modtager og udfører alle AI-arbejdsservere i klustret koden simultant, og angriberen opnår fuld kontrol over samtlige maskiner på få sekunder.

Forfalskede forbindelsesoplysninger leder til kodeudførelse

Angriberen manipulerer en konfigurationsfil eller et Handle-objekt (en reference til en fjernforbindelse i AITER) til at pege på en server kontrolleret af angriberen. Når AITER-systemet forsøger at oprette forbindelse til den forfalskede adresse, modtager det i stedet en ondsindet pickle-payload. Koden eksekveres i AI-arbejdsprocessen med de rettigheder, som AITER-processen kører med — ofte høje systemrettigheder.

Ransomware-angreb mod AI-infrastruktur

En kriminel gruppe sender et pickle-payload der installerer ransomware simultant på alle servere i et virksomheds AI-kluster. Inden krypteringen starter, eksfiltreres AI-modeller og træningsdata til angriberens servere. Virksomheden mister adgang til sin AI-infrastruktur og risikerer, at proprietære modeller lækkes eller sælges til konkurrenter.

Ofte stillede spørgsmål

Ramte produkter

Amd — Aiter

≤ 0.1.14

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-502

Original NVD-beskrivelse (engelsk)

AI Tensor Engine for ROCm (AITER) through 0.1.14 contains an unauthenticated remote code execution vulnerability in the MessageQueue.recv() function within shm_broadcast.py that allows unauthenticated remote attackers to execute arbitrary code by sending a malicious pickle payload to a ZMQ SUB socket with no authentication, HMAC, or format validation. Attackers who can reach the writer XPUB endpoint on the cluster network or supply a forged Handle with an attacker-controlled remote_subscribe_addr can deliver a crafted pickle payload that executes arbitrary code simultaneously as the inference worker process on every remote reader worker.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-49121
Offentliggjort
01/06/2026
Sidst opdateret
08/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-72 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.