技術的な説明
MLflow 3.11.0 より前のバージョンは、AI Gateway シークレットの api_key フィールドに含まれる環境変数参照 ($AWS_ACCESS_KEY_ID など) をサーバーの実行環境に対して解析し、解析された値をプロバイダー認証ヘッダーに含めて設定された api_base URL に転送します。ゲートウェイシークレットの書き込みが可能な攻撃者 (基本認証デプロイメントでは低権限認証ユーザー、デフォルトデプロイメントではすべての未認証ユーザー) は、api_base を攻撃者制御エンドポイントに設定し、モデルアーティファクトストレージに使用される AWS アクセスキーとシークレットを含むサーバー側環境認証情報を流出させることで、アーティファクトポイズニングおよびダウンストリーム環境でのクロスバウンダリコード実行を可能にすることができます。
攻撃経路
未認証 (デフォルトデプロイメント) または低権限認証ユーザー (基本認証デプロイメント) による、攻撃者制御 api_base URL と api_key フィールド内の環境変数参照を含むゲートウェイシークレットの書き込み。MLflow の AI Gateway は、次のプロバイダー呼び出し時に解析された認証情報値を転送します。
影響を受けるシステム
MLflow AI Gateway、3.11.0 より前のすべてのバージョン。特に基本認証なしのセルフホストデプロイメント (デフォルト設定) では高リスクです。
緩和策
直ちに MLflow 3.11.0 にアップグレードしてください (パッチコミット 4a3f2f720cb4f058c9e0c5b883e0acc9ab64a7f3)。直ちのアップグレードが不可能な場合は、ゲートウェイシークレット書き込みアクセスを信頼できる管理者のみに制限し、攻撃者到達可能な api_base URL を指す環境変数参照について既存のゲートウェイシークレットを監査してください。流出している可能性のあるクラウド認証情報をローテーションしてください。