概要
オープンソースのLLMデプロイツール「LMDeploy」に存在するServer-Side Request Forgery(SSRF)脆弱性(CVE-2026-33626、CVSSスコア:7.5)が、GitHub上でのアドバイザリ公開からわずか12時間31分後に実環境での悪用が確認された。この脆弱性はOrca Securityの研究者Igor Stepansky氏が発見・報告したもので、バージョン0.12.0以前のすべてのリリース(ビジョン言語モデルのサポートを含むすべてのバージョン)が影響を受ける。現時点での修正版は0.12.3以上へのアップデートが推奨されている。
脆弱性の技術的詳細
脆弱性はlmdeploy/vl/utils.py内のload_image()関数に存在する。この関数は内部・プライベートIPアドレスの検証を行わずに任意のURLを取得できる状態にあり、攻撃者はこれを悪用してクラウドインフラや内部システムへのアクセスが可能となる。成功した場合の影響は以下の通りである。
- クラウド認証情報の窃取:AWS Instance Metadata Service(IMDS)へのアクセスによる一時認証情報の取得
- 内部サービスへのアクセス:RedisやMySQLなどの内部データベースや各種サービスへの不正アクセス
- ネットワーク偵察:ループバックインターフェースを含む内部ネットワーク構成の把握
- 横断的侵害(ラテラルムーブメント):取得した認証情報を用いたさらなる侵害活動
攻撃のタイムラインと手口
最初の悪用はIPアドレス103.116.72[.]119からの攻撃として、2026年4月22日03:35 UTC(日本時間:4月22日12:35)に観測された。攻撃者は8分間で10回のリクエストを送信する体系的な偵察キャンペーンを3段階に分けて実施した。
- 第1段階:AWS IMDSおよびRedisインスタンスへのリクエスト送信
- 第2段階:DNSコールバックを通じた外部への通信経路確認(エグレステスト)
- 第3段階:ループバックインターフェースに対するポートスキャン
また、攻撃者は検知回避のために複数のビジョン言語モデルを切り替えながらリクエストを送信していた点が特徴的である。
対応と推奨事項
LMDeployのビジョン言語モデル機能を利用している組織は直ちにバージョン0.12.3以上へのアップデートを行うことが強く推奨される。本件は公開情報をもとに短時間で攻撃が開始されるという「N-day攻撃」の典型例であり、AIインフラへの攻撃が従来のWebアプリケーションと同様の速度・手口で行われていることを示している。LLMやAIモデルのデプロイ環境に対しても、通常のソフトウェアと同様の迅速なパッチ適用体制が不可欠となっている。