Ein kritischer Sicherheitsfehler, der **LMDeploy**, ein Toolkit zur Komprimierung, Bereitstellung und zum Serving von LLMs, betrifft, wird kurz nach seiner öffentlichen Bekanntgabe aktiv in freier Wildbahn ausgenutzt. Dies unterstreicht das zunehmende Risiko einer schnellen Ausnutzung von KI-Infrastrukturen. ### CVE-2026-33626: Server-Side Request Forgery Die als **CVE-2026-33626** (CVSS-Score: 7,5) identifizierte Schwachstelle ist ein Server-Side Request Forgery (SSRF)-Problem, das es Angreifern ermöglicht, potenziell auf sensible Informationen zuzugreifen. Laut einer vom Projektwart veröffentlichten Mitteilung ruft die Funktion `load_image()` in `lmdeploy/vl/utils.py` beliebige URLs ab, ohne interne/private IP-Adressen ordnungsgemäß zu validieren. Diese Nachlässigkeit ermöglicht es Angreifern, auf Cloud-Metadatendienste, interne Netzwerke und andere sensible Ressourcen zuzugreifen. Die Schwachstelle betrifft alle Versionen des Toolkits (0.12.0 und früher), die Unterstützung für Vision-Sprache enthalten. **Igor Stepansky**, ein Forscher bei **Orca Security**, wird die Entdeckung und Meldung der Schwachstelle zugeschrieben. ### Mögliche Auswirkungen Eine erfolgreiche Ausnutzung von **CVE-2026-33626** könnte es Angreifern ermöglichen: * Cloud-Anmeldeinformationen zu stehlen. * Auf interne Dienste zuzugreifen, die nicht im Internet verfügbar sind. * Port-Scans von internen Netzwerken durchzuführen. * Möglichkeiten zur lateralen Bewegung innerhalb der kompromittierten Umgebung zu etablieren. ### Schnelle Ausnutzung erkannt **Sysdig**, ein Unternehmen für Cloud-Sicherheit, berichtete, die erste Ausnutzungsversuch gegen seine Honeypot-Systeme nur 12 Stunden und 31 Minuten nach der Veröffentlichung der Schwachstelle auf **GitHub** entdeckt zu haben. Der Angriff stammte von der IP-Adresse 103.116.72[.]119. "Der Angreifer hat den Fehler nicht einfach nur validiert und ist weitergezogen. Stattdessen nutzte er über eine einzige achtminütige Sitzung den Vision-Language-Image-Loader als generisches HTTP-SSRF-Primitive, um das interne Netzwerk hinter dem Model-Server zu scannen: AWS Instance Metadata Service (IMDS), Redis, MySQL, eine sekundäre HTTP-Administrationsschnittstelle und ein Out-of-Band (OOB) DNS-Exfiltrationsendpunkt", teilte **Sysdig** in seiner Analyse mit. Die Aktionen des Angreifers, die am 22. April 2026 um 03:35 Uhr UTC beobachtet wurden, umfassten 10 verschiedene Anfragen über drei Phasen. Der Angreifer wechselte zwischen Vision-Language-Modellen (VLMs) wie `internlm-xcomposer2` und `OpenGVLab/InternVL2-8B`, wahrscheinlich um einer Entdeckung zu entgehen. Der Angriff umfasste: * Zielen auf **AWS** IMDS und **Redis**-Instanzen auf dem Server. * Testen des Ausgangs mit einem Out-of-Band (OOB) DNS-Callback an `requestrepo[.]com`, um zu bestätigen, dass die SSRF-Schwachstelle beliebige externe Hosts erreichen konnte, gefolgt von der Enumeration der API-Oberfläche. * Port-Scannen der Loopback-Schnittstelle ("127.0.0[.]1"). ### Gelernte Lektionen Dieser Vorfall unterstreicht die Bedeutung der sofortigen Behebung von Schwachstellen, auch wenn noch keine Proof-of-Concept (PoC)-Exploits öffentlich verfügbar sind. Bedrohungsakteure überwachen aktiv die Offenlegung von Schwachstellen und machen diese schnell zu Waffen. "CVE-2026-33626 passt in ein Muster, das wir in den letzten sechs Monaten wiederholt im Bereich der KI-Infrastruktur beobachtet haben: Kritische Schwachstellen in Inferenzservern, Model-Gateways und Agenten-Orchestrierungstools werden innerhalb von Stunden nach der Veröffentlichung von Mitteilungen zu Waffen gemacht, unabhängig von der Größe oder dem Umfang ihrer installierten Basis", bemerkte **Sysdig**. Sie betonten weiter, dass "Generative AI (GenAI) diesen Zusammenbruch beschleunigt. Eine so spezifische Mitteilung wie GHSA-6w67-hwm5-92mq, die die betroffene Datei, den Parameternamen, die Erklärung der Grundursache und ein Beispiel für anfälligen Code enthält, ist im Wesentlichen ein Eingabe-Prompt für jedes kommerzielle LLM, um einen potenziellen Exploit zu generieren." ### WordPress-Plugins und internetexponierte Modbus-Geräte im Visier Gleichzeitig nutzen Bedrohungsakteure aktiv Schwachstellen in zwei **WordPress**-Plugins aus: Ninja Forms – File Upload (**CVE-2026-0740**, CVSS-Score: 9,8) und Breeze Cache (**CVE-2026-3844**, CVSS-Score: 9,8). Diese Schwachstellen ermöglichen es Angreifern, beliebige Dateien auf anfällige Websites hochzuladen, was potenziell zur Ausführung von beliebigem Code und zur vollständigen Übernahme des Systems führen kann.  Darüber hinaus wurde eine globale Kampagne identifiziert, die von September bis November 2025 auf internetexponierte, Modbus-fähige speicherprogrammierbare Steuerungen (SPS) abzielt. Diese Kampagne erstreckte sich über 70 Länder und zielte auf 14.426 eindeutige IP-Adressen ab, die hauptsächlich in den USA, Frankreich, Japan, Kanada und Indien ansässig waren. Einige der Ursprungsanfragen wurden nach China geolokalisiert. "Die Aktivität vermischte groß angelegte automatisierte Suchen mit selektiveren Mustern, die auf tiefere Geräte-Fingerprinting-, Störungsversuche und potenzielle Manipulationspfade hindeuten, wenn SPS vom öffentlichen Internet aus erreichbar sind", berichteten **Cato Networks**-Forscher. "Viele Quell-IPs hatten niedrige oder keine öffentlichen Reputationswerte, was mit neuen oder rotierenden Scan-Hosts übereinstimmt."