Fulmine Zero-Day: server AI LMDeploy violato entro poche ore dalla divulgazione della falla
Sottotitolo: Gli attaccanti hanno trasformato in arma una vulnerabilità SSRF appena rivelata nel modulo vision-language di LMDeploy appena 12 ore dopo l’avviso pubblico, mettendo in luce la velocità e la sofisticazione delle minacce alle infrastrutture AI.
È bastato meno di mezzo giorno perché i criminali informatici trasformassero una vulnerabilità di LMDeploy appena divulgata in un attacco reale. Mentre si posava la polvere su un normale avviso di sicurezza, un hacker opportunista era già dentro, a sondare segreti nel cloud e database interni-senza bisogno di alcun exploit proof-of-concept. L’incidente mette in evidenza una nuova, inquietante normalità: l’infrastruttura AI è ormai un bersaglio primario, e sfruttato rapidamente, nel sottobosco cyber.
Dentro la violazione: come è successo
Il 21 aprile 2026, su GitHub è stato pubblicato un avviso di sicurezza per LMDeploy-una popolare piattaforma open-source per il serving di modelli vision-language. Nel giro di poche ore, il Threat Research Team di Sysdig, monitorando un honeypot, ha intercettato il primo tentativo di sfruttamento: una serie di chiamate API metodiche provenienti da un IP a Kowloon Bay, Hong Kong. L’attaccante non aveva bisogno di un exploit già pronto; i dettagli contenuti nell’avviso erano sufficienti per progettare un attacco funzionante.
La vulnerabilità, radicata nella funzione load_image(), consentiva agli attaccanti di fornire URL di immagini nelle richieste di chat. In modo cruciale, LMDeploy non verificava se tali URL puntassero a indirizzi riservati o interni. Il risultato? Qualsiasi attore esterno poteva ordinare al server di recuperare endpoint interni sensibili-servizi di metadata nel cloud, database locali, perfino API amministrative-e restituirne i contenuti.
In una singola finestra di otto minuti, l’attaccante ha:
- Preso di mira l’AWS Instance Metadata Service per rubare credenziali cloud.
- Sondato servizi locali come Redis e MySQL per un potenziale movimento laterale.
- Usato callback DNS out-of-band per verificare la capacità del server di raggiungere destinazioni esterne, confermando un percorso di attacco SSRF “blind”.
- Tentato di compromettere il routing interno di LMDeploy accedendo a endpoint amministrativi non autenticati.
Non si è trattato di una scansione casuale: l’attaccante ha dimostrato una profonda comprensione sia dell’infrastruttura cloud sia dell’architettura di LMDeploy. La catena d’attacco evidenzia come le falle SSRF nei componenti di serving AI possano abilitare sia il furto di dati sia l’interruzione del servizio-potenzialmente su larga scala.
Perché conta
LMDeploy, nonostante la sua popolarità negli ambienti AI (quasi 7.800 stelle su GitHub), è sfuggito al radar dei cataloghi di vulnerabilità mainstream come il KEV della CISA. Questo ha permesso allo sfruttamento di eludere molte difese aziendali. Con l’accelerazione dell’adozione dell’AI, cresce anche il rischio: i server di inferenza in genere girano su potenti istanze cloud con ampio accesso a dati sensibili e credenziali.
Il rapido sfruttamento della CVE-2026-33626 mette in luce una realtà amara: gli attaccanti ora leggono gli advisory come fossero blueprint, costruendo exploit in ore, non in settimane. I cicli di patch tradizionali e i piani di risposta lenti semplicemente non riescono a tenere il passo.
Restare avanti rispetto alle minacce AI
I team di sicurezza sono invitati ad aggiornare a LMDeploy v0.12.3 o successiva, che blocca le richieste verso IP privati e link-local. Ulteriori difese includono l’applicazione di regole firewall in uscita, il posizionamento di reverse proxy davanti alle API AI e l’inventario formale di tutti i componenti di serving AI per la scansione delle CVE.
Man mano che l’AI continua a rimodellare il panorama tecnologico, i difensori devono adattarsi-perché gli avversari lo hanno già fatto.
TECHCROOK
Ubiquiti UniFi Dream Machine (UDM/UDM Pro) è un gateway di sicurezza con firewall stateful e funzioni IDS/IPS pensate per ridurre l’impatto di attacchi come SSRF su server esposti, limitando soprattutto il traffico in uscita verso reti interne e servizi cloud sensibili. Integra routing, NAT e segmentazione tramite VLAN per isolare i server di inferenza AI dal resto dell’infrastruttura, oltre a regole granulari per bloccare accessi a IP privati/link-local (es. metadata service) e controllare le API pubblicate dietro reverse proxy. La gestione centralizzata UniFi semplifica logging, alert e applicazione rapida di policy, utile quando le vulnerabilità vengono sfruttate in poche ore. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- SSRF (Server: SSRF è una vulnerabilità in cui gli attaccanti inducono un server a inviare richieste verso destinazioni non previste, potenzialmente esponendo dati sensibili o sistemi interni.
- Honeypot: Un honeypot è un sistema fittizio predisposto per attirare gli attaccanti informatici, consentendo alle organizzazioni di studiare i metodi d’attacco senza mettere a rischio asset reali.
- API (Application Programming Interface): Un’API è un insieme di regole che permette a diversi sistemi software di comunicare, fungendo da ponte tra applicazioni. Le API sono bersagli comuni in ambito cybersecurity.
- IMDS (Instance Metadata Service): IMDS è un endpoint cloud che fornisce metadati dell’istanza e credenziali. Mettere in sicurezza IMDS è cruciale per prevenire accessi non autorizzati e proteggere dati cloud sensibili.
- Proof: Un Proof-of-Concept (PoC) è una dimostrazione che mostra come una vulnerabilità di cybersecurity possa essere sfruttata, aiutando a validare e valutare i rischi reali.




