Tres líneas de código y Triton se rindió. Los atacantes obtuvieron el control total
La confianza en la IA se desplomó de la noche a la mañana. NVIDIA admitió haber comprometido su plataforma.
Se han descubierto vulnerabilidades críticas en la plataforma NVIDIA Triton Inference Server que amenazan la seguridad de la infraestructura de IA en sistemas Windows y Linux. Se trata de una solución de código abierto diseñada para el despliegue y mantenimiento a gran escala de modelos de aprendizaje automático. Ahora se ha revelado que su backend en Python puede ser utilizado para tomar el control total del servidor sin necesidad de autenticación.
El equipo de Wiz informó sobre tres vulnerabilidades que, combinadas adecuadamente, permiten la ejecución remota de código arbitrario. La primera — CVE-2025-23319, con una puntuación CVSS de 8.1 — permite a un atacante provocar una escritura fuera de límites enviando una solicitud especialmente diseñada. La segunda — CVE-2025-23320 (CVSS 7.5) — permite superar el límite de memoria compartida mediante una solicitud excesivamente grande. La tercera — CVE-2025-23334 (CVSS 5.9) — da lugar a una lectura fuera del área permitida. Si bien por separado no representan una amenaza grave, en conjunto abren la puerta a una completa toma de control del servidor.
El problema radica en el mecanismo que maneja los modelos en Python, incluyendo aquellos desarrollados con PyTorch y TensorFlow. Este backend permite enviar solicitudes de inferencia utilizando mecanismos internos de IPC — y es precisamente en este funcionamiento donde residen las vulnerabilidades.
El escenario de ataque comienza con el uso de CVE-2025-23320, que permite extraer el nombre único del área de memoria compartida utilizada para la comunicación entre componentes. Este nombre, que debería permanecer oculto, puede ser obtenido por un atacante y utilizado como clave. A continuación, CVE-2025-23319 y CVE-2025-23334 permiten escribir y leer datos en la memoria eludiendo las restricciones. Esto brinda control total sobre el proceso de inferencia, posibilitando la inserción de código malicioso, el robo de modelos de IA, la alteración de su comportamiento y el acceso a información sensible.
Según los especialistas, comprometer Triton podría convertirse en un punto de entrada para un ataque más amplio contra toda la red de la organización, incluida la infraestructura responsable de operaciones críticas.
En su boletín de agosto, NVIDIA confirma la existencia de los problemas descritos e insta a instalar de inmediato la actualización 25.07, que ya corrige estas vulnerabilidades. Paralelamente, el desarrollador ha anunciado la corrección de otros tres errores graves: CVE-2025-23310, CVE-2025-23311 y CVE-2025-23317. Estos fallos también pueden resultar en ejecución de código, filtración de datos, fallos del servidor o alteración del contenido de la memoria. Todos han sido corregidos en la misma actualización.
Aunque por ahora no se han reportado casos de explotación activa de estas vulnerabilidades, dada la magnitud del riesgo y la naturaleza de los componentes involucrados, se recomienda a las organizaciones que utilizan Triton actualizar de inmediato y revisar su modelo de amenazas relacionado con la infraestructura de IA.
¿Estás cansado de que Internet sepa todo sobre ti?