ShadowRay

Ray — это Python-фреймворк с открытым исходным кодом для масштабирования продакшен-процессов ИИ. Job API Ray по своей архитектуре допускает произвольное удаленное выполнение. Однако он не предоставляет аутентификацию, а конфигурация по умолчанию может выставить кластер в интернет. Исследователи Oligo обнаружили, что кластеры Ray активно эксплуатировались не менее семи месяцев. Злоумышленники могут использовать вычислительные мощности организации-жертвы и красть ценную информацию. По оценке исследователей, стоимость скомпрометированных машин составляет почти 1 млрд долларов США.

О пяти уязвимостях в Ray сообщили Anyscale, сопровождающим Ray. Anyscale оперативно исправила четыре из пяти уязвимостей. Однако пятая уязвимость, CVE-2023-48022, остается спорной. Anyscale утверждает, что отсутствие аутентификации в Ray является архитектурным решением и что Ray должен развертываться в безопасной сетевой среде. Исследователи Oligo считают это «теневой уязвимостью», потому что из-за спорного статуса CVE не отображается в статическом сканировании.

Процедура

  1. AML.TA0002 Разведка

    AML.T0006 Активное сканирование

    Злоумышленники могут сканировать публичные IP-адреса, чтобы найти системы, на которых потенциально доступны панели управления Ray.

    По умолчанию панели Ray работают на всех сетевых интерфейсах, поэтому без дополнительных защитных механизмов они могут оказаться доступными из интернета.

  2. AML.TA0004 Первичный доступ

    AML.T0049 Эксплуатация приложения, доступного из интернета

    После обнаружения открытых кластеров Ray злоумышленники могут использовать Jobs API для запуска заданий на доступных кластерах.

    Jobs API не поддерживает авторизацию, поэтому любой, у кого есть сетевой доступ к кластеру, может удаленно выполнить произвольный код.

  3. AML.TA0009 Сбор материалов

    AML.T0035 Сбор ИИ-артефактов

    Злоумышленники могут собирать ИИ-артефакты, включая продакшен-модели и данные.

    Исследователи наблюдали рабочие продакшен-нагрузки нескольких организаций из разных отраслей.

  4. AML.TA0013 Доступ к учетным данным

    AML.T0055 Незащищенные учетные данные

    Злоумышленники могли собирать незащищенные учетные данные, хранившиеся в кластере.

    Исследователи наблюдали SSH-ключи, токены OpenAI, токены Hugging Face, токены Stripe, ключи облачных окружений AWS, GCP, Azure и Lambda Labs, а также секреты Kubernetes.

  5. AML.TA0010 Эксфильтрация

    AML.T0025 Эксфильтрация киберсредствами

    ИИ-артефакты, учетные данные и другая ценная информация могут быть эксфильтрованы киберсредствами.

    Исследователи обнаружили признаки reverse shell на уязвимых кластерах; такие оболочки могут использоваться для закрепления, продолжения выполнения произвольного кода и эксфильтрации данных.

  6. AML.TA0004 Первичный доступ

    AML.T0010.003 Модель

    Токены Hugging Face могли позволить злоумышленнику заменить модели организации-жертвы вредоносными вариантами.
  7. AML.TA0011 Воздействие

    AML.T0048.000 Финансовый ущерб

    Злоумышленники могут причинить организации-жертве финансовый ущерб.

    Эксфильтрированные учетные данные могут использоваться для исчерпания кредитов или вывода средств со счетов.

    Кроме того, облачные GPU-ресурсы сами по себе дороги.

    Исследователи обнаружили майнеры криптовалюты на уязвимых кластерах Ray.

Источники

  1. Anyscale Update on CVEs
  2. CVE-2023-48022
  3. ShadowRay: First Known Attack Campaign Targeting AI Workloads Actively Exploited In The Wild
  4. ShadowRay: AI Infrastructure Is Being Exploited In the Wild