Accueil > Nouvelles Cyber > CVE-2023-48022: La faille ShadowRay, une menace critique pour l'infrastructure de l'IA
CYBER NOUVELLES

CVE-2023-48022: La faille ShadowRay, une menace critique pour l'infrastructure de l'IA

L'équipe de recherche d'Oligo a récemment découvert une campagne d'attaque en cours, surnommé ShadowRay, cibler une vulnérabilité dans Ray, un framework d'IA open source largement utilisé. Cette vulnérabilité, actuellement non résolu et manquant de correctif, constitue une menace critique pour des milliers d'entreprises et de serveurs exécutant une infrastructure d'IA.

L'exploitation de cette vulnérabilité permet aux attaquants de prendre le contrôle des entreprises’ puissance de calcul et exposer potentiellement des données sensibles. La faille a été activement exploitée par le passé 7 mois, affectant divers secteurs tels que l’éducation, crypto-monnaie, et biopharmaceutique. Pour atténuer les risques, toutes les organisations employant Ray sont invitées à évaluer l'exposition de leur environnement et à examiner toute activité suspecte..

CVE-2023-48022 La faille ShadowRay, une menace critique pour l'infrastructure d'IA

CVE-2023-48022 a un score CVSS critique de 9.8

La faille de sécurité, identifié comme CVE-2023-48022 avec un score CVSS critique de 9.8, permet aux attaquants distants d'exécuter du code arbitraire via l'API de soumission de tâches. Cette interruption du contrôle d'authentification dans les composants du tableau de bord et du client de Ray accorde aux acteurs non autorisés la possibilité de soumettre, effacer, et récupérer des tâches, ainsi que d'exécuter des commandes à distance.




Bien qu'il soit activement attaqué depuis septembre 2023, À toute échelle, les développeurs et les mainteneurs de Ray, je n'ai pas abordé le problème pour l'instant, citant des décisions de conception de longue date. Ils ont l'intention d'intégrer l'authentification dans une prochaine version dans le cadre d'une stratégie de sécurité plus large..

Les observations des chercheurs en cybersécurité révèlent que des pirates ont réussi à pirater de nombreux clusters de GPU Ray., potentiellement compromettre une multitude de données sensibles. Cela inclut les mots de passe de la base de données de production, Clés SSH, jetons d'accès, et la capacité de manipuler des modèles.

En outre, il a été observé que des serveurs compromis hébergeaient mineurs de crypto-monnaie et outils pour un accès à distance persistant. L'utilisation d'un outil open source nommé Interactsh complique encore les efforts de détection, permettre aux attaquants d'opérer clandestinement.

L'infiltration d'un cluster de production Ray offre aux pirates informatiques une opportunité lucrative. Avec des données précieuses et exécution de code distant capacités, les attaquants peuvent monétiser leurs activités tout en restant pratiquement indétectables.

Stratégies d'atténuation

Oligo propose les mesures d'atténuation suivantes pour minimiser le risque d'exploits basés sur CVE-2023-48022:

  1. Adhérer aux meilleures pratiques pour sécuriser les déploiements Ray.
  2. Initier Ray dans un environnement sécurisé, environnement de confiance.
  3. Implémentez des règles de pare-feu ou des groupes de sécurité pour contrecarrer les accès non autorisés.
  4. Appliquer l'autorisation sur le port Ray Dashboard (défaut: 8265):
    • Si le tableau de bord de Ray a besoin d'accessibilité, déployer un proxy intégrant une couche d'autorisation à l'API Ray lors de son exposition sur le réseau.
  5. Surveiller régulièrement les environnements de production et les clusters d'IA pour déceler les anomalies, y compris au sein de Ray.
  6. Reconnaître que Ray s'appuie sur l'exécution de code arbitraire pour ses fonctionnalités. Les outils traditionnels d'analyse de code et de mauvaise configuration peuvent ne pas détecter de telles attaques, en tant que mainteneurs open source de Ray (À toute échelle) je les ai marqués comme contestés plutôt que comme des bugs, constituant une fonctionnalité au moment de la rédaction.
  7. Évitez de lier 0.0.0.0 pour la simplicité. Il est conseillé d'utiliser une adresse IP provenant d'une interface réseau explicite, comme l'adresse IP du sous-réseau de votre réseau local ou un VPC/VPN privé de confiance.
  8. Soyez prudent avec les valeurs par défaut. Vérifiez soigneusement les paramètres; parfois, les outils présupposent une connaissance de leur documentation.
  9. Sélectionnez les outils appropriés. Alors que les mainteneurs open source assument une certaine responsabilité, la responsabilité technique de la sécurisation de l'open source incombe aux utilisateurs. Utiliser des outils conçus pour protéger les charges de travail de production contre les risques inhérents à l'utilisation de l'open source au moment de l'exécution..

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord