CVE-2026-49121: Kritisk fejl i AMD AITER giver fuld serveradgang
Kritisk fejl i AMDs AI-framework AITER lader angribere køre skadelig kode på alle tilsluttede servere uden login.
Hvad er det?
AITER (AI Tensor Engine for ROCm) er AMDs open source-framework til at køre AI-modeller på AMD-grafikkort (GPU’er). I version 0.1.14 og tidligere er der en alvorlig fejl i den måde, systemet modtager beskeder internt mellem serverne.
Fejlen sidder i en funktion kaldet MessageQueue.recv(), som bruges til at sende data mellem AI-arbejdsprocesser. Funktionen accepterer data i et format kaldet pickle (et Python-dataformat), uden at tjekke om afsenderen er legitim, og uden at validere indholdet. Det betyder, at en angriber kan sende et ondsindet stykke data, som systemet automatisk udfører som kode.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der:
- Bruger AMD-grafikkort (ROCm-platformen) til at køre AI-modeller eller maskinlæring
- Har installeret AITER-frameworket i version 0.1.14 eller ældre
- Kører AITER i et klustermiljø (flere servere der arbejder sammen om AI-opgaver)
Det er typisk mellemstore og større virksomheder med egne AI-infrastrukturer, datacentre, forskningsinstitutioner eller teknologivirksomheder der udvikler AI-produkter på AMD-hardware.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende:
- Køre vilkårlig kode på serveren — det vil sige gøre præcis, hvad de vil på maskinen
- Ramme alle forbundne arbejdsservere på én gang — fordi den ondsindede besked bliver distribueret til samtlige AI-arbejdsprocesser i klustret simultant
- Stjæle data, herunder AI-modeller, træningsdata og forretningskritisk information
- Installere ransomware eller anden skadelig software på alle berørte servere
- Overtage hele AI-infrastrukturen uden at have et brugernavn eller adgangskode
Det kræver, at angriberen kan nå netværket, hvor AITER-klustret kommunikerer — men kræver ingen login eller særlige rettigheder.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.1 ud af 10 (Alvorlig) efter den internationale CVSS-skala.
Den er ikke scoret til den maksimale 10, fordi angrebet kræver en vis netværksadgang og teknisk kompleksitet (høj angrebskompleksitet). Men hvis angriberen først er inden for rækkevidde af klusternetværket, er konsekvenserne totale: fuld kontrol over fortrolighed, integritet og tilgængelighed.
Det er særligt bekymrende, at:
- Der kræves ingen autentifikation (intet login)
- Alle servere i klustret rammes samtidig
- Angrebstypen (usikker deserialisering via pickle) er velkendt og relativt nem at udnytte for erfarne angribere
Hvad gør jeg nu?
Følg disse trin for at beskytte dig hurtigst muligt:
- Find ud af om du bruger AITER: Spørg din IT-ansvarlige eller leverandør, om AITER (AI Tensor Engine for ROCm) er installeret i jeres miljø — typisk på servere med AMD GPU’er til AI-opgaver.
- Tjek versionen: Er versionen 0.1.14 eller ældre, er I sårbare. Kør kommandoen
pip show aiterpå de relevante servere for at se versionen. - Opdatér straks til en version af AITER, der indeholder en rettelse af denne fejl. Følg AMDs officielle udmelding og udgivelsesnoter.
- Begræns netværksadgang til AITER-klusternetværket med en firewall, så kun betroede servere kan kommunikere på de relevante porte (ZMQ XPUB/SUB). Aldrig eksponér disse porte mod internettet eller upålidelige netværk.
- Overvåg dine systemer for mistænkelig aktivitet — uventede processer, netværksforbindelser eller ændringer i filer på AI-serverne.
- Kontakt din IT-partner eller Auroa, hvis du er i tvivl om din eksponering eller behøver hjælp til at gennemføre rettelserne.
Opdatér inden for 24-72 timer
Hvis du kører AMD-baseret AI-infrastruktur med AITER, bør du behandle denne sårbarhed som en brandslukningsopgave. Opdatér frameworket hurtigst muligt og sørg for, at klusternetværket er isoleret bag en firewall, så kun autoriserede servere kan kommunikere internt. Angrebstypen — usikker deserialisering — er velforstået af angribere, og tærsklen for at udvikle et fungerende angreb er lav, når teknikken kendes. Vent ikke på, at nogen banker på døren.
Tidslinje
Konkrete eksempler
Angriber på klusternetværket overtager alle AI-servere
En angriber, der har fået adgang til det interne netværk — eksempelvis via et kompromitteret medarbejder-laptop eller en dårligt sikret VPN — identificerer AITER-klustrets XPUB-port. Angriberen sender et ondsindet pickle-objekt til porten. Automatisk modtager og udfører alle AI-arbejdsservere i klustret koden simultant, og angriberen opnår fuld kontrol over samtlige maskiner på få sekunder.
Forfalskede forbindelsesoplysninger leder til kodeudførelse
Angriberen manipulerer en konfigurationsfil eller et Handle-objekt (en reference til en fjernforbindelse i AITER) til at pege på en server kontrolleret af angriberen. Når AITER-systemet forsøger at oprette forbindelse til den forfalskede adresse, modtager det i stedet en ondsindet pickle-payload. Koden eksekveres i AI-arbejdsprocessen med de rettigheder, som AITER-processen kører med — ofte høje systemrettigheder.
Ransomware-angreb mod AI-infrastruktur
En kriminel gruppe sender et pickle-payload der installerer ransomware simultant på alle servere i et virksomheds AI-kluster. Inden krypteringen starter, eksfiltreres AI-modeller og træningsdata til angriberens servere. Virksomheden mister adgang til sin AI-infrastruktur og risikerer, at proprietære modeller lækkes eller sælges til konkurrenter.
Ofte stillede spørgsmål
Hvad er 'pickle' og hvorfor er det farligt her?
Pickle er et Python-format til at gemme og sende data. Problemet er, at pickle kan indeholde kode, der udføres automatisk, når dataene læses — ligesom at åbne en vedhæftet fil der kører sig selv. AITER kontrollerer ikke, om de modtagne pickle-data er sikre eller kommer fra en betroet kilde, og det giver angribere mulighed for at skjule skadelig kode i dem.
Skal angriberen have adgang til vores netværk for at udnytte fejlen?
Ja, angriberen skal kunne nå det netværk, som AITER-klustrets servere kommunikerer på — det såkaldte klusternetværk. Hvis dette netværk er korrekt isoleret fra internettet og upålidelige brugere, er risikoen betydeligt lavere. Det understreger vigtigheden af en velfungerende firewall og netværkssegmentering.
Vi har AMD-grafikkort til spil eller grafik — er vi også sårbare?
Nej, denne sårbarhed handler ikke om selve AMD-grafikkortene. Det er udelukkende software-frameworket AITER (AI Tensor Engine for ROCm), der er sårbart. Har I ikke installeret AITER til AI-arbejdsbelastninger, er I ikke berørt af denne specifikke fejl.
Hvad er ZMQ, og hvad er et XPUB/SUB-socket?
ZMQ (ZeroMQ) er et system til hurtig kommunikation mellem servere — tænk på det som et avanceret internt postsystem. XPUB og SUB er to typer ‘postkasser’ i det system: XPUB sender beskeder ud til mange modtagere, og SUB modtager dem. Fejlen gør, at hvem som helst, der kan nå XPUB-postkassen, kan sende en ondsindet besked til alle SUB-modtagere på én gang — uden at legitimere sig.
Hvad sker der, hvis vi ikke opdaterer med det samme?
Forbliver I på en sårbar version uden netværksbeskyttelse, er I eksponerede for et angreb der potentielt kan kompromittere alle AI-servere i jeres kluster simultant. Det kan betyde datatyveri, driftsstop og i værste fald ransomware. Jo længere I venter, jo større er risikoen — særligt fordi angrebstypen er teknisk veldokumenteret.
Er der noget vi kan gøre, hvis vi ikke kan opdatere med det samme?
Ja. Som midlertidig foranstaltning bør I straks isolere AITER-klusternetværket med en firewall, så kun de servere der absolut skal kommunikere med hinanden, har adgang til de relevante porte. Fjern al eksponering mod internettet og upålidelige interne netværk. Dette er dog kun et plaster på såret — en opdatering er den eneste varige løsning.
Ramte produkter
Amd — Aiter
≤ 0.1.14
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
AI Tensor Engine for ROCm (AITER) through 0.1.14 contains an unauthenticated remote code execution vulnerability in the MessageQueue.recv() function within shm_broadcast.py that allows unauthenticated remote attackers to execute arbitrary code by sending a malicious pickle payload to a ZMQ SUB socket with no authentication, HMAC, or format validation. Attackers who can reach the writer XPUB endpoint on the cluster network or supply a forged Handle with an attacker-controlled remote_subscribe_addr can deliver a crafted pickle payload that executes arbitrary code simultaneously as the inference worker process on every remote reader worker.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
