<p><meta/> { “status”: “DRAFT”, “category”: “Vulnerability Analysis”, “threat_level”: “CRITICAL”, “target_audience”: “CSIRT, Security Engineers, DevOps Engineers”, “cve_identifiers”: [“CVE-2024-9143”, “CVE-2024-37032”], “priority”: “IMMEDIATE_ACTION” } </p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">AI基盤を標的とする新世代の脅威：GitLab AI GatewayとvLLMのRCE脆弱性への対策</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>AI統合型開発パイプラインの中核を担う「GitLab AI Gateway」および、高性能な推論エンジン「vLLM」において、深刻な脆弱性が報告されました（2024年第3四半期〜第4四半期）。<strong>CVE-2024-9143</strong>（GitLab）では、AI Gatewayを介した任意のモデル実行や認可バイパスのリスクが、<strong>CVE-2024-37032</strong>（vLLM）ではAPI経由での任意コード実行（RCE）が特定されています。これらは、AI導入を急ぐ組織のインフラを直接的な侵害リスクに晒すものです。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <p>vLLMにおけるモデル読み込みの脆弱性を悪用したRCE攻撃のキルチェーンを以下に示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] -->|1. 未認証のAPIアクセス| B["vLLM /v1/models API"] B -->|2. 悪意あるモデルパスの指定| C["内部ファイルシステム/リモートURL"] C -->|3. モデルメタデータの読み込み| D["Pickle/Templateのデシリアライズ"] D -->|4. 任意コード実行| E["ホストOSのシェル権限奪取"] E -->|5. 横展開| F["GitLab AI Gateway/機密データ"] </pre></div> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <h3 class="wp-block-heading">1. vLLM：APIサーバーの保護とモデル制限</h3> <p>デフォルトのvLLMサーバーは認証を保持せず、任意のパスからモデルをロードできるリスクがあります。</p> <p><strong>脆弱な設定（デフォルト）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># 外部公開インターフェースで認証なしに起動（非常に危険） python -m vllm.entrypoints.openai.api_server --host 0.0.0.0 --port 8000 </pre> </div> <p><strong>安全な代替案:</strong> 認証トークンの導入と、読み込み可能なモデルソースを制限します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 1. APIキーの設定とモデルリストの制限 export VLLM_API_KEY="sk-$(openssl rand -hex 32)" # 2. リバースプロキシ（Nginx等）配下に配置し、信頼できるソースのみを許可 # 3. 実行ユーザーの制限（非ルートユーザー） vllm serve /path/to/local/trusted_models \ --api-key $VLLM_API_KEY \ --host 127.0.0.1 \ --port 8000 \ --disable-log-requests </pre> </div> <h3 class="wp-block-heading">2. GitLab AI Gateway：認可の強制と更新</h3> <p>GitLab AI Gateway（Cloud Connector）においては、古いバージョンでのトークン検証不備を修正するため、迅速なパッチ適用が必須です。</p> <p><strong>対策コマンド（GitLab Self-managed環境）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># インストールされているAI Gatewayのイメージ更新を確認 docker pull registry.gitlab.com/gitlab-org/model-gateway:latest # GitLab Rails側の設定で、AI GatewayのURLが正当なエンドポイントを指しているか再検証 gitlab-rake gitlab:env:info </pre> </div> <h2 class="wp-block-heading">【検出と緩和策】</h2> <h3 class="wp-block-heading">検知ポイント（EDR/SIEM）</h3> <ul class="wp-block-list"> <li><p><strong>プロセス監視</strong>: <code>vllm</code> プロセスの子プロセスとして <code>sh</code>, <code>bash</code>, <code>curl</code> などが起動していないか監視。</p></li> <li><p><strong>ログ分析</strong>: vLLM APIログにおける <code>POST /v1/models</code> への不審なリクエスト、または <code>/etc/passwd</code> や <code>../</code> を含むパス指定の検知。</p></li> <li><p><strong>ネットワーク監視</strong>: AI Gatewayから、許可されていない外部LLMプロバイダIPへの異常なトラフィックを検知。</p></li> </ul> <h3 class="wp-block-heading">応急的な緩和策（Workaround）</h3> <ol class="wp-block-list"> <li><p><strong>ネットワーク隔離</strong>: vLLMおよびAI Gatewayをプライベートサブネットに配置し、VPN/踏み台経由以外の直接アクセスを遮断。</p></li> <li><p><strong>ReadOnlyファイルシステム</strong>: コンテナ実行時、モデル保存先以外のルートファイルシステムを読み取り専用（<code>--read-only</code>）でマウント。</p></li> </ol> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>可用性への影響</strong>: vLLMに認証（APIキー）を導入すると、既存の統合アプリケーション（LangChainや自社開発UI）が接続断となる可能性があります。導入前に環境変数の伝搬確認が必要です。</p></li> <li><p><strong>誤検知（False Positive）</strong>: 開発者が正当な理由でローカルの新規モデルをテストする際、セキュリティツールの「未定義モデルのロード」検知に抵触する場合があります。開発用セグメントではポリシーの調整が必要です。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>組織として直ちに実施すべき3項目：</p> <ol class="wp-block-list"> <li><p><strong>バージョン更新</strong>: GitLab AI Gatewayを最新の安定版へアップデートし、vLLMは v0.4.1 以降（修正済みバージョン）への移行を完了させる。</p></li> <li><p><strong>APIの要塞化</strong>: vLLMサーバーに <code>--api-key</code> を設定し、インターネットに直接露出させない（リバースプロキシの必須化）。</p></li> <li><p><strong>モデル供給網の制限</strong>: <code>HF_HOME</code> などの環境変数を固定し、信頼できない外部リポジトリからの自動ダウンロードを禁止する。</p></li> </ol> <hr/> <p><strong>参考文献:</strong></p> <ul class="wp-block-list"> <li><p><a href="https://about.gitlab.com/releases/categories/releases/">GitLab Security Advisories</a></p></li> <li><p><a href="https://www.oligo.security/blog/vllm-remote-code-execution-vulnerability">Oligo Security: vLLM Vulnerability Report (CVE-2024-37032)</a></p></li> <li><p><a href="https://nvd.nist.gov/vuln/detail/CVE-2024-9143">NVD – CVE-2024-9143 Details</a></p></li> </ul>

graph TD
    A["攻撃者"] -->|1. 未認証のAPIアクセス| B["vLLM /v1/models API"]
    B -->|2. 悪意あるモデルパスの指定| C["内部ファイルシステム/リモートURL"]
    C -->|3. モデルメタデータの読み込み| D["Pickle/Templateのデシリアライズ"]
    D -->|4. 任意コード実行| E["ホストOSのシェル権限奪取"]
    E -->|5. 横展開| F["GitLab AI Gateway/機密データ"]

# 外部公開インターフェースで認証なしに起動（非常に危険）

python -m vllm.entrypoints.openai.api_server --host 0.0.0.0 --port 8000

# 1. APIキーの設定とモデルリストの制限

export VLLM_API_KEY="sk-$(openssl rand -hex 32)"

# 2. リバースプロキシ（Nginx等）配下に配置し、信頼できるソースのみを許可


# 3. 実行ユーザーの制限（非ルートユーザー）

vllm serve /path/to/local/trusted_models \
    --api-key $VLLM_API_KEY \
    --host 127.0.0.1 \
    --port 8000 \
    --disable-log-requests

# インストールされているAI Gatewayのイメージ更新を確認

docker pull registry.gitlab.com/gitlab-org/model-gateway:latest

# GitLab Rails側の設定で、AI GatewayのURLが正当なエンドポイントを指しているか再検証

gitlab-rake gitlab:env:info