Nvidia, Yapay Zekâ Hizmetlerini Kötüye Kullanmaya İzin Verebilecek Güvenlik Açıklarını Kapattı
Nvidia, yapay zekâ (AI) hizmetlerini kötüye kullanma riski taşıyan iki önemli güvenlik açığını kapattı. Bu açıklar, özellikle Nvidia Riva platformunu etkiliyordu. Büyük dil modelleri (LLM) ve gerçek zamanlı konuşma AI hizmetleri için tasarlanan Riva, GPU hızlandırmalı bir platform olarak öne çıkıyordu.
Nvidia, Riva’da Ortaya Çıkan Güvenlik Açıkları Hakkında Açıklama Yaptı
Nvidia, 10 Mart tarihinde yayınladığı bir güvenlik duyurusunda, Riva platformunun iki farklı erişim kontrol zafiyetinden etkilendiğini açıkladı. İlk açık, CVE-2025-23242 koduyla tanımlandı ve yüksek önem seviyesine sahip. Bu açık, yetki yükseltme, veri değiştirme, hizmet engelleme (DoS) ve bilgi ifşası gibi ciddi riskler taşıyor. İkinci açık ise CVE-2025-23243 koduyla belirlendi ve orta seviye bir risk olarak sınıflandırıldı. Bu açık, veri değiştirme ve hizmet engelleme saldırılarına olanak tanıyor.
Söz konusu güvenlik açıkları, Linux işletim sistemi üzerinde çalışan Nvidia Riva’nın 2.18 ve önceki sürümlerini etkiliyor. Nvidia, bu açıkları Riva’nın 2.19.0 sürümüyle kapatmış durumda. Açıklar, Trend Micro araştırmacıları tarafından keşfedildi ve Kasım 2024’te Nvidia’ya bildirildi. Trend Micro’nun Zero Day Initiative ekibi, her iki açığın da kimlik doğrulama gerektirmeden istismar edilebileceğini belirtti.
Trend Micro güvenlik araştırmacısı Alfredo Oliveira, Riva örneklerinin internete açık olmaması gerektiğini vurguladı. Ancak Oliveira, yaptıkları araştırmanın internete açık Riva sistemlerinin keşfiyle tetiklendiğini ifade etti. Oliveira, “Varsayılan bulut kurulumu, hizmeti 0.0.0.0/0 (tüm internet) üzerinden erişilebilir hale getiren bir ağ kuralı oluşturuyor” açıklamasında bulundu.
Bu durum, bir saldırganın savunmasız bir Riva örneğini bulması halinde, ilgili hizmeti yetkisiz olarak kullanabilmesine olanak tanıyor. Oliveira, “Riva bir AI konuşma hizmetidir. Çeviri, metinden konuşmaya ve konuşmadan metne dönüştürme gibi işlevler sunar. Hem lisans hem de altyapı maliyetleri oldukça yüksektir. Bu sistemin kötüye kullanılması, ciddi bir finansal etki yaratabilir” diye ekledi.
Nvidia, bu güvenlik açıklarını hızlı bir şekilde kapatarak kullanıcılarını koruma altına aldı. Ancak uzmanlar, benzer AI hizmetlerini kullanan kurumların sistemlerini sürekli güncel tutmaları ve güvenlik yapılandırmalarını gözden geçirmeleri konusunda uyarıyor.
