Casa > Cyber ​​Notizie > CVE-2023-48022: ShadowRay Flaw è una minaccia critica per l'infrastruttura IA
CYBER NEWS

CVE-2023-48022: ShadowRay Flaw è una minaccia critica per l'infrastruttura IA

Il team di ricerca di Oligo ha recentemente scoperto una campagna di attacchi in corso, soprannominato ShadowRay, prendendo di mira una vulnerabilità in Ray, un framework AI open source ampiamente utilizzato. Questa vulnerabilità, attualmente irrisolto e privo di patch, rappresenta una minaccia critica per migliaia di aziende e server che utilizzano infrastrutture di intelligenza artificiale.

Sfruttare questa vulnerabilità consente agli aggressori di prendere il controllo delle aziende’ potenza di calcolo ed esporre potenzialmente dati sensibili. Il difetto è stato attivamente sfruttato in passato 7 mesi, che interessano diversi settori, tra cui quello dell’istruzione, criptovaluta, e biofarmaceutico. Per mitigare i rischi, tutte le organizzazioni che impiegano Ray sono invitate a valutare l'esposizione dei propri ambienti ed esaminare qualsiasi attività sospetta.

CVE-2023-48022 ShadowRay Flaw è una minaccia critica per l'infrastruttura AI

CVE-2023-48022 Ha un punteggio CVSS critico di 9.8

La falla nella sicurezza, identificato come CVE-2023-48022 con un punteggio CVSS critico pari a 9.8, consente agli aggressori remoti di eseguire codice arbitrario tramite l'API di invio del lavoro. Questa mancanza di controllo dell'autenticazione all'interno dei componenti Dashboard e Client di Ray garantisce ad attori non autorizzati la possibilità di inviare, cancellare, e recuperare posti di lavoro, nonché eseguire comandi remoti.




Nonostante sia sotto attacco attivo da settembre 2023, Qualsiasi scala, gli sviluppatori e i manutentori di Ray, non hanno affrontato la questione per ora, citando decisioni progettuali di lunga data. Intendono integrare l'autenticazione in una versione futura come parte di una strategia di sicurezza più ampia.

Le osservazioni dei ricercatori di sicurezza informatica rivelano che gli hacker sono riusciti a violare con successo numerosi cluster Ray GPU, potenzialmente compromettendo una grande quantità di dati sensibili. Ciò include le password del database di produzione, Chiavi SSH, token di accesso, e la capacità di manipolare i modelli.

Inoltre, è stato osservato che i server compromessi ospitano minatori criptovaluta e strumenti per l'accesso remoto persistente. L'utilizzo di uno strumento open source denominato Interactsh complica ulteriormente gli sforzi di rilevamento, consentendo agli aggressori di operare clandestinamente.

L'infiltrazione in un cluster di produzione Ray offre agli hacker un'opportunità redditizia. Con dati preziosi e esecuzione di codice remoto capacità, gli aggressori possono monetizzare le proprie attività rimanendo praticamente invisibili.

Strategie di mitigazione

Oligo propone le seguenti misure di mitigazione per ridurre al minimo il rischio di exploit basati su CVE-2023-48022:

  1. Aderisci alle migliori pratiche per proteggere le distribuzioni Ray.
  2. Avvia Ray all'interno di un ambiente protetto, ambiente fidato.
  3. Implementa regole firewall o gruppi di sicurezza per contrastare l'accesso non autorizzato.
  4. Applica l'autorizzazione sulla porta Ray Dashboard (predefinito: 8265):
    • Se la dashboard di Ray necessita di accessibilità, distribuire un proxy che incorpora un livello di autorizzazione nell'API Ray quando lo si espone sulla rete.
  5. Monitorare regolarmente gli ambienti di produzione e i cluster AI per individuare eventuali anomalie, compreso all'interno di Ray.
  6. Riconoscere che Ray si affida all'esecuzione di codice arbitrario per la funzionalità. Gli strumenti tradizionali di scansione del codice e di errata configurazione potrebbero non riuscire a rilevare tali attacchi, come manutentori open source di Ray (Qualsiasi scala) li hanno contrassegnati come contestati anziché come bug, che costituisce una caratteristica al momento della scrittura.
  7. Evitare di legarsi 0.0.0.0 per semplicità. È consigliabile utilizzare un indirizzo IP da un'interfaccia di rete esplicita, come l'IP all'interno della sottorete della rete locale o un VPC/VPN privato affidabile.
  8. Prestare attenzione alle impostazioni predefinite. Verificare attentamente le impostazioni; a volte gli strumenti presuppongono familiarità con la loro documentazione.
  9. Seleziona gli strumenti appropriati. Mentre i manutentori open source si assumono alcune responsabilità, l'onere tecnico di garantire l'open source ricade sugli utenti. Utilizza strumenti progettati per proteggere i carichi di lavoro di produzione dai rischi inerenti all'uso runtime dell'open source.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo