Una grave vulnerabilidad de seguridad identificada en Riva de NVIDIA, una plataforma de inteligencia artificial para servicios de voz y traducción, ha generado una exposición de entornos de nube a accesos y usos no autorizados.
Investigadores de Trend Micro descubrieron dos fallos, catalogados como CVE-2025-23242 y CVE-2025-23243, originados por configuraciones incorrectas que dejaron expuestos a la internet pública los puntos finales gRPC y Triton Inference Server de Riva.
Estas deficiencias permiten a agentes malintencionados evitar la autenticación, utilizar indebidamente los recursos de la GPU y potencialmente sustraer modelos de IA patentados o interrumpir servicios mediante ataques de denegación de servicio (DoS).
Las vulnerabilidades afectan principalmente a implementaciones basadas en Linux con versiones de Riva hasta la 2.18.0, que carecen de una configuración SSL/TLS adecuada y de aislamiento de red.
La explotación de estas vulnerabilidades podría permitir a los atacantes acceder a interfaces de programación de aplicaciones (API) confidenciales sin necesidad de credenciales, aprovechando los puertos expuestos (50051 para gRPC, 8000–8002 para Triton) para ejecutar solicitudes de inferencia arbitrarias.
Esto plantea graves riesgos financieros y operativos, ya que las instancias comprometidas podrían dar lugar a una facturación no autorizada mediante el robo de claves API o la pérdida de propiedad intelectual si se filtran modelos de IA personalizados.
Los analistas de Trend Micro señalaron que la causa principal radica en las configuraciones de contenedor predeterminadas de Riva, que vinculan servicios a todas las interfaces de red (0.0.0.0) sin exigir la autenticación del cliente.
«Incluso cuando las organizaciones habilitan SSL/TLS para comunicaciones cifradas, la ausencia de autenticación mutua permite que cualquiera pueda conectarse a puntos finales seguros», explicó Alfredo Oliveira, investigador principal de la Iniciativa Día Cero de Trend Micro.
Esto crea una falsa sensación de seguridad, ya que los atacantes aún pueden abusar de los servicios o recurrir a sistemas internos a través de instancias de Triton Inference Server mal aisladas.
El principal vector de ataque aprovecha la implementación insegura de gRPC de Riva. De forma predeterminada, las implementaciones de Riva utilizan comunicación de texto sin formato a menos que los administradores configuren explícitamente SSL/TLS en el script config.sh.
Sin embargo, el análisis de Trend Micro reveló que incluso las configuraciones seguras no logran validar los certificados de los clientes, lo que permite el acceso no autenticado.
El siguiente fragmento de Python demuestra cómo los atacantes pueden establecer conexiones a servidores Riva vulnerables:
import grpc
# Establishing insecure connection to exposed Riva server
channel = grpc.insecure_channel(«target_ip:50051″)
stub = riva_proto.RivaSpeechStub(channel)# Example: Exploiting text-to-speech API without credentials
response = stub.TextToSpeech(riva_proto.TextToSpeechRequest(text=»Exploit sample»))
Esta supervisión permite a los atacantes eludir los sistemas de pago vinculados a claves API y abusar de los recursos de la GPU para la criptominería o el entrenamiento de modelos adversarios.
Para agravar el riesgo, los puntos finales internos del Triton Inference Server de Riva permanecen expuestos a través de los puertos 8000–8002.
Los atacantes pueden interactuar directamente con las API HTTP/REST y gRPC de Triton para ejecutar solicitudes de inferencia o buscar vulnerabilidades del modelo.
Trend Micro identificó riesgos de corrupción de memoria en versiones de Triton sin parches, donde las solicitudes de inferencia mal formadas podrían provocar desbordamientos del búfer, un vector para la ejecución remota de código.
Esto se ve agravado por los contenedores Riva que se ejecutan con privilegios elevados, lo que permite a los atacantes exitosos escalar el acceso a clústeres de Kubernetes subyacentes o instancias en la nube.
La mitigación requiere actualizar a Riva 2.19.0, que introduce validación de certificados de cliente y controles de aislamiento de red.
Los administradores también deben reconfigurar los grupos de seguridad para restringir el tráfico de ingreso a IP confiables y aplicar controles de acceso basados en roles (RBAC) en los puntos finales de Triton.
A medida que los proveedores de la nube integran cada vez más servicios de IA, este incidente subraya la necesidad crítica de arquitecturas de confianza cero en entornos acelerados por GPU.
