vLLM vulnerable to timing attack at bearer auth
A validação de chaves API do vLLM é vulnerável a ataques de timing, onde um atacante pode adivinhar a chave API caractere por caractere medindo quanto tempo o servidor leva para rejeitar cada tentativa. Isso permite que atacantes contornem a autenticação e obtenham acesso não autorizado ao serviço de LLM.
A validação de chave API no vLLM utiliza comparação de strings com variação temporal baseada na quantidade de caracteres corretos correspondidos, possibilitando um ataque de timing side-channel. Um atacante pode determinar iterativamente cada caractere da chave API analisando tempos de resposta em múltiplas tentativas de autenticação, resultando em bypass de autenticação e acesso não autorizado à API.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →