Volver al blog
11 de mayo de 20267 min

Vulnerabilidad Crítica en Ollama: Fuga de Memoria Remota y Riesgos para LLMs Empresariales

Vulnerabilidad Crítica en Ollama: Fuga de Memoria Remota y Riesgos para LLMs Empresariales

La inteligencia artificial (IA) está transformando rápidamente el panorama empresarial, impulsando la innovación y la eficiencia. Sin embargo, con esta adopción acelerada, surgen nuevos vectores de amenaza que exigen una vigilancia constante y una gestión de riesgos proactiva. Recientemente, se ha descubierto una vulnerabilidad crítica en Ollama, una plataforma popular de código abierto para ejecutar Modelos de Lenguaje Grandes (LLMs) localmente, que pone de manifiesto la complejidad y los desafíos de seguridad inherentes a las infraestructuras de IA.

CVE-2026-7482: La Fuga de Memoria Bleeding Llama

Investigadores de ciberseguridad han revelado una vulnerabilidad de lectura fuera de límites (out-of-bounds read) en Ollama, identificada como CVE-2026-7482 y apodada "Bleeding Llama" por Cyera. Esta falla, con una puntuación CVSS de 9.1 (Crítica), permite a un atacante remoto no autenticado filtrar la memoria completa del proceso de Ollama. Se estima que esta vulnerabilidad podría afectar a más de 300.000 servidores expuestos a nivel global, representando un riesgo significativo para las organizaciones que utilizan Ollama para sus despliegues de LLMs.

¿Qué Implica una Lectura Fuera de Límites (Out-of-Bounds Read)?

En términos sencillos, una lectura fuera de límites ocurre cuando un programa intenta acceder a datos en una ubicación de memoria que está más allá de los límites asignados para ese propósito. Esto puede llevar a la exposición de información sensible que no debería ser accesible, ya que el programa lee datos arbitrarios en el espacio de memoria adyacente.

En el caso de Ollama, la vulnerabilidad reside en su cargador de modelos GGUF (GPT-Generated Unified Format), específicamente en la función WriteTo() durante la cuantificación, cuando se crea un modelo a partir de un archivo GGUF desde el endpoint /api/create. Si un atacante envía un archivo GGUF manipulado donde el desplazamiento y el tamaño de un tensor exceden la longitud real del archivo, el servidor lee más allá del búfer de memoria asignado, provocando la fuga.

El Impacto de una Fuga de Memoria en la Infraestructura de IA

La explotación exitosa de CVE-2026-7482 puede tener consecuencias devastadoras para la seguridad de los datos empresariales. La memoria del proceso de Ollama puede contener una gran cantidad de información confidencial, incluyendo:

  • Variables de entorno: Contienen configuraciones del sistema que podrían ser sensibles.
  • Claves API: Credenciales críticas para acceder a otros servicios y recursos, tanto internos como externos.
  • Prompts del sistema: Instrucciones o datos internos que guían el comportamiento de los LLMs, revelando lógicas de negocio o secretos comerciales.
  • Datos de conversación de usuarios concurrentes: Información altamente sensible y privada que, si se filtra, podría derivar en graves violaciones de privacidad y cumplimiento normativo.

Un atacante podría exfiltrar esta información subiendo el artefacto del modelo resultante a un registro controlado por el atacante a través del endpoint /api/push. Como señaló Dor Attias, investigador de seguridad de Cyera, "Un atacante puede aprender básicamente cualquier cosa sobre la organización a partir de la inferencia de su IA: claves API, código propietario, contratos de clientes y mucho más." Además, si Ollama está conectado a herramientas como Claude Code, el impacto es aún mayor, ya que todas las salidas de la herramienta fluyen al servidor de Ollama y podrían caer en manos del atacante.

Vulnerabilidades Adicionales en Ollama para Windows: Ejecución de Código Persistente

Como si la fuga de memoria no fuera suficiente, otro equipo de investigadores de Striga ha detallado dos vulnerabilidades adicionales en el mecanismo de actualización de Ollama para Windows que pueden encadenarse para lograr la ejecución de código persistente.

Estas fallas, que permanecen sin parchear tras su divulgación en enero de 2026, afectan a las versiones de Ollama para Windows 0.12.10 hasta la 0.17.5:

  • CVE-2026-42248 (CVSS: 7.7): Verificación de Firma Ausente. A diferencia de su versión para macOS, el cliente de Windows no verifica la firma del binario de actualización antes de la instalación. Esto permite a un atacante inyectar código malicioso.
  • CVE-2026-42249 (CVSS: 7.7): Path Traversal. El actualizador de Windows crea la ruta local para el directorio de preparación del instalador directamente a partir de las cabeceras de respuesta HTTP sin sanitizarla. Esto posibilita que un atacante dirija la escritura de archivos a ubicaciones arbitrarias fuera de los directorios esperados.

Ambas vulnerabilidades, combinadas con el autoarranque del cliente en el inicio de sesión de Windows, permiten a un atacante con control sobre el servidor de actualizaciones ejecutar código arbitrario de forma persistente. Esto podría resultar en la instalación de shells inversas, robo de información sensible (como secretos del navegador, claves SSH), o el despliegue de droppers para establecer mecanismos de persistencia adicionales.

Recomendaciones y Contramedidas Esenciales

Proteger sus despliegues de LLMs y la infraestructura subyacente es imperativo. Aquí se detallan acciones cruciales para mitigar estos riesgos:

  • Actualización Inmediata: Asegúrese de que sus instancias de Ollama estén actualizadas a la versión 0.17.1 o posterior para CVE-2026-7482. Para las vulnerabilidades de Windows, desactive las actualizaciones automáticas y elimine los accesos directos de Ollama de la carpeta de inicio (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) hasta que haya parches oficiales.
  • Limitación de Acceso a la Red: Restrinja el acceso a sus servidores Ollama solo a las direcciones IP y puertos estrictamente necesarios. Si es posible, evite la exposición directa a Internet.
  • Auditoría de Instancias Expuestas: Realice auditorías exhaustivas para identificar y remediar cualquier instancia de Ollama expuesta a Internet o a redes no confiables.
  • Aislamiento y Segmentación: Aísle los servidores Ollama en segmentos de red dedicados y aplique reglas de firewall estrictas para minimizar el movimiento lateral en caso de compromiso.
  • Autenticación y Autorización: Dado que la API REST de Ollama no ofrece autenticación de fábrica, despliegue un proxy de autenticación o una API gateway delante de todas las instancias. Esto añadirá una capa crucial de seguridad.
  • Hardening del Sistema Operativo: Implementar prácticas de hardening en los sistemas operativos Linux y Windows donde se ejecuta Ollama. Esto incluye la gestión de permisos, la desactivación de servicios innecesarios y la aplicación de configuraciones seguras.
  • Monitoreo Continuo: Implemente un monitoreo de seguridad continuo para detectar actividades anómalas, intentos de conexión inusuales o posibles exfiltraciones de datos relacionadas con sus despliegues de LLMs.
  • Revisión de Despliegues LLM Empresariales: Examine regularmente la configuración y seguridad de todos sus despliegues de LLMs, prestando especial atención a la gestión de credenciales (API keys), la protección de prompts y el manejo de datos de usuarios.

ITCS VIP: Su Aliado en la Seguridad de la IA y la Infraestructura

En ITCS VIP, entendemos que la seguridad en el entorno de la IA no es un lujo, sino una necesidad crítica. Nuestros servicios están diseñados para ayudar a las empresas a navegar por el complejo panorama de amenazas y a proteger sus activos más valiosos:

  • Servicios de Hardening y Fortificación de Infraestructura: Fortalecemos sus sistemas operativos Linux y Windows, asegurando que las configuraciones de seguridad cumplan con las mejores prácticas y estándares de la industria, reduciendo drásticamente la superficie de ataque.
  • Auditorías de Seguridad de IA Privada y Despliegues LLM: Realizamos evaluaciones exhaustivas de sus implementaciones de IA, identificando vulnerabilidades, configuraciones incorrectas y riesgos específicos asociados con el despliegue local de LLMs como Ollama. Esto incluye la revisión de la gestión de APIs, la segregación de datos y la protección contra ataques de inyección de prompts.
  • Consultoría en Ciberseguridad Robusta para Infraestructura Linux: Nuestros expertos le guían en la implementación de arquitecturas seguras y en la gestión integral de la seguridad de sus sistemas basados en Linux, esenciales para muchos despliegues de IA.
  • Implementación de API Gateways y Soluciones de Autenticación: Diseñamos e implementamos soluciones de proxy de autenticación y API gateways para proteger sus endpoints de IA, asegurando que solo el tráfico autorizado y autenticado pueda interactuar con sus modelos.

Conclusión: Un Paso Adelante en la Seguridad de la IA

Las vulnerabilidades en Ollama son un recordatorio contundente de que, a medida que la IA se integra más profundamente en nuestras operaciones, la seguridad debe ser una consideración primordial en cada etapa del ciclo de vida del desarrollo y despliegue. No basta con la funcionalidad; la resiliencia y la protección de datos son clave. Implementar una estrategia de seguridad robusta, que incluya hardening, auditorías periódicas y una gestión cuidadosa de las actualizaciones, es fundamental para mitigar los riesgos inherentes a esta nueva era tecnológica.

No espere a que una brecha ocurra. Proteger la memoria de sus procesos y la integridad de sus modelos de IA es crucial. Contacte con ITCS VIP hoy mismo para una evaluación de seguridad adaptada a su infraestructura de IA y asegure un futuro digital más seguro para su organización.

Contexto editorial: cobertura adicional en The Hacker News.