技術的な説明
MLflow 3.11.0 より前のバージョンは、AI Gateway シークレットの api_key フィールドに埋め込まれた環境変数参照 ($AWS_ACCESS_KEY_ID など) をサーバーのライブ環境に対して解決し、その後、解決された値をプロバイダー認証ヘッダーで設定された api_base URL に転送します。ゲートウェイシークレットを書き込むことができる攻撃者 (basic-auth デプロイメントの低権限認証ユーザー、またはデフォルトデプロイメントの認証されていないユーザー) は、api_base を攻撃者制御のエンドポイントに設定し、モデルアーティファクトストレージに使用される AWS アクセスキーおよびシークレットを含むサーバー側の環境認証情報を流出させることで、アーティファクト投与攻撃と下流環境でのクロスバウンダリーコード実行を可能にします。
攻撃経路
攻撃者制御の api_base URL と api_key フィールドの環境変数参照を含むゲートウェイシークレットの、認証されていない (デフォルトデプロイメント) または低権限認証 (basic-auth デプロイメント) での書き込み。MLflow の AI Gateway はその後、次のプロバイダーコール時に解決された認証情報値を転送します。
影響を受けるシステム
MLflow AI Gateway、3.11.0 より前のすべてのバージョン。特に basic-auth なしのセルフホスト型デプロイメント (デフォルト設定) で高リスクです。
緩和策
直ちに MLflow 3.11.0 にアップグレードしてください (パッチコミット 4a3f2f720cb4f058c9e0c5b883e0acc9ab64a7f3)。即座のアップグレードが不可能な場合は、ゲートウェイシークレットの書き込みアクセスを信頼できる管理者のみに制限し、攻撃者が到達可能な api_base URL を指す環境変数参照について既存のゲートウェイシークレットを監査してください。流出した可能性のあるクラウド認証情報を回転させてください。