Исследователи кибербезопасности предупреждают, что субъекты угрозы активно используют "спорную" и незащищенную уязвимость в платформе искусственного интеллекта (ИИ) с открытым исходным кодом Anyscale Ray для захвата вычислительных мощностей для незаконной добычи криптовалюты.
"Эта уязвимость позволяет злоумышленникам завладевать вычислительными мощностями компаний и осуществлять утечку конфиденциальных данных", - заявили исследователи Oligo Security Ави Лумельски, Гай Каплан и Гал Эльбаз во вторник.
"Этот недостаток активно использовался в течение последних семи месяцев, затрагивая такие секторы, как образование, криптовалюта, биофармацевтика и другие".
Кампания, продолжающаяся с сентября 2023 года, получила кодовое название ShadowRay от израильской фирмы по безопасности приложений. Это также первый случай, когда рабочие нагрузки искусственного интеллекта были нацелены в дикой природе из-за недостатков, лежащих в основе инфраструктуры искусственного интеллекта.
Ray - это полностью управляемый вычислительный фреймворк с открытым исходным кодом, который позволяет организациям создавать, обучать и масштабировать рабочие нагрузки AI и Python. Она состоит из основной распределенной среды выполнения и набора библиотек AI для упрощения платформы ML.
Она используется некоторыми крупнейшими компаниями, включая OpenAI, Uber, Spotify, Netflix, LinkedIn, Niantic и Pinterest, среди прочих.
Рассматриваемая уязвимость в системе безопасности - это CVE-2023-48022 (оценка CVSS: 9,8), критическая ошибка отсутствующей аутентификации, которая позволяет удаленным злоумышленникам выполнять произвольный код через API отправки заданий. Об этом сообщил Бишоп Фокс наряду с двумя другими недостатками в августе 2023 года.
Компания по кибербезопасности заявила, что отсутствие средств контроля аутентификации в двух компонентах Ray, Dashboard и клиенте, может быть использовано "неавторизованными субъектами для свободной отправки заданий, удаления существующих заданий, получения конфиденциальной информации и удаленного выполнения команд".
Это позволяет получить доступ операционной системы ко всем узлам кластера Ray или попытаться получить учетные данные экземпляра Ray EC2. Anyscale в отчете, опубликованном в ноябре 2023 года, заявила, что на данный момент не планирует устранять проблему.
"То, что в Ray нет встроенной аутентификации – это давнее дизайнерское решение, основанное на том, как определены границы безопасности Ray, и соответствующее передовым практикам развертывания Ray, хотя мы намерены предложить аутентификацию в будущей версии как часть стратегии углубленной защиты", - отметили в компании.
В документации также предупреждается, что поставщик платформы несет ответственность за обеспечение того, чтобы Ray работал в "достаточно контролируемых сетевых средах" и чтобы разработчики могли безопасно получать доступ к Ray Dashboard.
Компания Oligo заявила, что обнаружила теневую уязвимость, используемую для взлома сотен кластеров графических процессоров Ray, что потенциально позволяет субъектам угрозы получить доступ к множеству конфиденциальных учетных данных и другой информации со скомпрометированных серверов.
Сюда входят пароли производственной базы данных, закрытые ключи SSH, токены доступа, связанные с OpenAI, HuggingFace, Slack и Stripe, возможность отравлять модели и расширенный доступ к облачным средам от Amazon Web Services, Google Cloud и Microsoft Azure.
Было обнаружено, что во многих случаях зараженные экземпляры были взломаны с помощью майнеров криптовалюты (например, XMRig, NBMiner и Zephyr) и обратных оболочек для постоянного удаленного доступа.
Неизвестные злоумышленники, стоящие за ShadowRay, также использовали инструмент с открытым исходным кодом под названием Interactsh, чтобы остаться незамеченными.
"Когда злоумышленники получают в свои руки кластер по производству Ray, это настоящий джекпот", - говорят исследователи. "Ценные данные компании плюс удаленное выполнение кода упрощают монетизацию атак — и все это, оставаясь в тени, полностью необнаруживаемыми (и, благодаря статическим средствам безопасности, необнаруживаемыми)".
"Эта уязвимость позволяет злоумышленникам завладевать вычислительными мощностями компаний и осуществлять утечку конфиденциальных данных", - заявили исследователи Oligo Security Ави Лумельски, Гай Каплан и Гал Эльбаз во вторник.
"Этот недостаток активно использовался в течение последних семи месяцев, затрагивая такие секторы, как образование, криптовалюта, биофармацевтика и другие".
Кампания, продолжающаяся с сентября 2023 года, получила кодовое название ShadowRay от израильской фирмы по безопасности приложений. Это также первый случай, когда рабочие нагрузки искусственного интеллекта были нацелены в дикой природе из-за недостатков, лежащих в основе инфраструктуры искусственного интеллекта.
Ray - это полностью управляемый вычислительный фреймворк с открытым исходным кодом, который позволяет организациям создавать, обучать и масштабировать рабочие нагрузки AI и Python. Она состоит из основной распределенной среды выполнения и набора библиотек AI для упрощения платформы ML.
Она используется некоторыми крупнейшими компаниями, включая OpenAI, Uber, Spotify, Netflix, LinkedIn, Niantic и Pinterest, среди прочих.
Рассматриваемая уязвимость в системе безопасности - это CVE-2023-48022 (оценка CVSS: 9,8), критическая ошибка отсутствующей аутентификации, которая позволяет удаленным злоумышленникам выполнять произвольный код через API отправки заданий. Об этом сообщил Бишоп Фокс наряду с двумя другими недостатками в августе 2023 года.
Компания по кибербезопасности заявила, что отсутствие средств контроля аутентификации в двух компонентах Ray, Dashboard и клиенте, может быть использовано "неавторизованными субъектами для свободной отправки заданий, удаления существующих заданий, получения конфиденциальной информации и удаленного выполнения команд".
Это позволяет получить доступ операционной системы ко всем узлам кластера Ray или попытаться получить учетные данные экземпляра Ray EC2. Anyscale в отчете, опубликованном в ноябре 2023 года, заявила, что на данный момент не планирует устранять проблему.
"То, что в Ray нет встроенной аутентификации – это давнее дизайнерское решение, основанное на том, как определены границы безопасности Ray, и соответствующее передовым практикам развертывания Ray, хотя мы намерены предложить аутентификацию в будущей версии как часть стратегии углубленной защиты", - отметили в компании.
В документации также предупреждается, что поставщик платформы несет ответственность за обеспечение того, чтобы Ray работал в "достаточно контролируемых сетевых средах" и чтобы разработчики могли безопасно получать доступ к Ray Dashboard.
Компания Oligo заявила, что обнаружила теневую уязвимость, используемую для взлома сотен кластеров графических процессоров Ray, что потенциально позволяет субъектам угрозы получить доступ к множеству конфиденциальных учетных данных и другой информации со скомпрометированных серверов.
Сюда входят пароли производственной базы данных, закрытые ключи SSH, токены доступа, связанные с OpenAI, HuggingFace, Slack и Stripe, возможность отравлять модели и расширенный доступ к облачным средам от Amazon Web Services, Google Cloud и Microsoft Azure.
Было обнаружено, что во многих случаях зараженные экземпляры были взломаны с помощью майнеров криптовалюты (например, XMRig, NBMiner и Zephyr) и обратных оболочек для постоянного удаленного доступа.
Неизвестные злоумышленники, стоящие за ShadowRay, также использовали инструмент с открытым исходным кодом под названием Interactsh, чтобы остаться незамеченными.
"Когда злоумышленники получают в свои руки кластер по производству Ray, это настоящий джекпот", - говорят исследователи. "Ценные данные компании плюс удаленное выполнение кода упрощают монетизацию атак — и все это, оставаясь в тени, полностью необнаруживаемыми (и, благодаря статическим средствам безопасности, необнаруживаемыми)".
