- Регистрация
- 01.08.25
- Сообщения
- 1,073
- Реакции
- 626
Хакеры активно эксплуатируют уязвимость в опенсорсном ИИ-фреймворке Ray, предупредили исследователи. Этот инструмент обычно используется для разработки и развертывания масштабных приложений на Python, предназначенных для таких задач, как машинное обучение, научные вычисления и обработка данных.
Согласно официальной статистике компании Anyscale, разрабатывающей Ray, фреймворк используется многими крупными компаниями, включая Uber, Amazon, Spotify, LinkedIn и OpenAI, которая применяет его для обучения ChatGPT.
Исследователи из израильской компании Oligo Security обнаружили, что тысячи публично доступных серверов Ray по всему миру оказались скомпрометированы из-за уязвимости CVE-2023-48022, которой в компании дали название ShadowRay.
Уязвимость CVE-2023-48022 была обнаружена еще в 2023 году (наряду с четырьмя другими проблемами), но изначально не считалась серьезной угрозой, поэтому с выпуском патчей для нее не спешили. По информации NVD, баг позволяет удаленному злоумышленнику выполнить произвольный код через API отправки заданий — интерфейс, используемый фреймворком для отправки вычислительных задач или заданий на выполнение.
В Anyscale утверждали, что уязвимость является незначительной, поскольку Ray «не предназначен для использования вне строго контролируемого сетевого окружения». По словам компании, обнаруженная ошибка и отсутствие аутентификации скорее были продуманным конструкторским решением, а не багом.
Из-за разногласий, возникших по поводу того, является ли CVE-2023-48022 уязвимостью в целом, проблема ShadowRay вообще не попала в несколько баз уязвимостей. В Oligo Security называют ее «теневой уязвимостью», так как многие ИБ-команды по всему миру даже не подозревали, что могут подвергаться риску.
По сути, этот баг позволяет злоумышленникам захватить контроль над вычислительными мощностями компаний-жертв и похитить конфиденциальные данные. Среди пострадавших от атак на CVE-2023-48022 уже числятся организации из самых разных отраслей, включая медицинские компании, фирмы, занимающиеся видеоаналитикой, биофармацевтикой, а также элитные учебные заведения.
При этом некоторые из пострадавших устройств были взломаны еще семь месяцев назад, и через взломанные серверы хакеры украли множество конфиденциальных данных. К примеру, были похищены учетные данные для доступа к БД, что позволяло атакующим незаметно скачивать полные базы данных. В других случаях злоумышленники могли вносить в БД изменения или шифровать их с помощью программ-вымогателей.
Среди прочей украденной информации числятся хеши паролей, токены Stripe и Slack, ИИ-модели переменные сред и так далее.
В Oligo Security говорят, что типичная ИИ-среда содержит «множество конфиденциальной информации», что делает ее привлекательной целью для хакеров. Кроме того, ИИ-модели обычно работают на дорогих и мощных машинах, что также делает используемые ими вычислительные мощности отличной мишенью для злоумышленников.
В ходе анализа специалисты обнаружили сотни скомпрометированных кластеров GPU, каждый из которых содержал множество узлов. Порой злоумышленники использовали некоторые из них для майнинга криптовалют, устанавливая на машины XMRig, NBMiner и Java-майнер Zephyr.
Общая стоимость скомпрометированных машин и их вычислительных мощностей оценивается почти в миллиард долларов, если судить по скомпрометированным кластерам, обнаруженным Oligo Security за последние недели.
В настоящее время для обеспечения безопасности развертываний Ray рекомендуется работать в защищенной среде, не пренебрегать правилами брандмауэра, добавив авторизацию на порт Ray Dashboard и постоянно отслеживая аномалии. Кроме того, следует избегать использования стандартных настроек, таких как привязка к 0.0.0.0, и использовать инструменты, повышающие уровень безопасности кластеров.
Согласно официальной статистике компании Anyscale, разрабатывающей Ray, фреймворк используется многими крупными компаниями, включая Uber, Amazon, Spotify, LinkedIn и OpenAI, которая применяет его для обучения ChatGPT.
Исследователи из израильской компании Oligo Security обнаружили, что тысячи публично доступных серверов Ray по всему миру оказались скомпрометированы из-за уязвимости CVE-2023-48022, которой в компании дали название ShadowRay.
Уязвимость CVE-2023-48022 была обнаружена еще в 2023 году (наряду с четырьмя другими проблемами), но изначально не считалась серьезной угрозой, поэтому с выпуском патчей для нее не спешили. По информации NVD, баг позволяет удаленному злоумышленнику выполнить произвольный код через API отправки заданий — интерфейс, используемый фреймворком для отправки вычислительных задач или заданий на выполнение.
В Anyscale утверждали, что уязвимость является незначительной, поскольку Ray «не предназначен для использования вне строго контролируемого сетевого окружения». По словам компании, обнаруженная ошибка и отсутствие аутентификации скорее были продуманным конструкторским решением, а не багом.
Из-за разногласий, возникших по поводу того, является ли CVE-2023-48022 уязвимостью в целом, проблема ShadowRay вообще не попала в несколько баз уязвимостей. В Oligo Security называют ее «теневой уязвимостью», так как многие ИБ-команды по всему миру даже не подозревали, что могут подвергаться риску.
По сути, этот баг позволяет злоумышленникам захватить контроль над вычислительными мощностями компаний-жертв и похитить конфиденциальные данные. Среди пострадавших от атак на CVE-2023-48022 уже числятся организации из самых разных отраслей, включая медицинские компании, фирмы, занимающиеся видеоаналитикой, биофармацевтикой, а также элитные учебные заведения.
При этом некоторые из пострадавших устройств были взломаны еще семь месяцев назад, и через взломанные серверы хакеры украли множество конфиденциальных данных. К примеру, были похищены учетные данные для доступа к БД, что позволяло атакующим незаметно скачивать полные базы данных. В других случаях злоумышленники могли вносить в БД изменения или шифровать их с помощью программ-вымогателей.
Среди прочей украденной информации числятся хеши паролей, токены Stripe и Slack, ИИ-модели переменные сред и так далее.
В Oligo Security говорят, что типичная ИИ-среда содержит «множество конфиденциальной информации», что делает ее привлекательной целью для хакеров. Кроме того, ИИ-модели обычно работают на дорогих и мощных машинах, что также делает используемые ими вычислительные мощности отличной мишенью для злоумышленников.
В ходе анализа специалисты обнаружили сотни скомпрометированных кластеров GPU, каждый из которых содержал множество узлов. Порой злоумышленники использовали некоторые из них для майнинга криптовалют, устанавливая на машины XMRig, NBMiner и Java-майнер Zephyr.
Общая стоимость скомпрометированных машин и их вычислительных мощностей оценивается почти в миллиард долларов, если судить по скомпрометированным кластерам, обнаруженным Oligo Security за последние недели.
В настоящее время для обеспечения безопасности развертываний Ray рекомендуется работать в защищенной среде, не пренебрегать правилами брандмауэра, добавив авторизацию на порт Ray Dashboard и постоянно отслеживая аномалии. Кроме того, следует избегать использования стандартных настроек, таких как привязка к 0.0.0.0, и использовать инструменты, повышающие уровень безопасности кластеров.
Новая волна атак на инфраструктуру, связанную с современными системами машинного обучения, обнаружена командой Oligo Security. Специалисты выяснили, что группа злоумышленников развернула масштабную операцию под названием ShadowRay 2.0, в которой инструменты ИИ используются против самих же платформ, отвечающих за управление вычислительными нагрузками. Целью кампании стали доступные из сети инстансы Ray — популярного фреймворка для распределённого выполнения задач, применяемого в многочисленных проектах, включая коммерческие и исследовательские среды.
По данным Oligo, атаки эксплуатируют уязвимость CVE-2023-48022, известную с 2023 года и связанную с отсутствием аутентификации в API Ray Jobs. Разработчики Ray рассматривают это как часть архитектуры, предполагающей работу в полностью контролируемой среде, однако на практике многие компании используют Ray на публичных серверах, что создаёт условия для компрометации инфраструктуры. За два года количество открытых экземпляров Ray выросло до более чем двухсот тысяч, причём часть из них уже скомпрометирована.
В ходе кампании злоумышленники, действующие под псевдонимом IronErn440, применили подход, характерный для DevOps-команд: вредоносная логика распространялась через GitLab и GitHub, обновлялась динамически с учётом региона, типа оборудования и конфигурации узлов.
Команда Oligo зафиксировала несколько волн атаки. Первая волна касалась размещения вредоносных обновлений на GitLab, но после удаления репозитория злоумышленники оперативно перенесли инфраструктуру на GitHub, создали новые аккаунты и продолжили распространение инструментов.
Ключевым элементом операции стало автономное распространение по кластерам Ray: злоумышленники использовали законные механизмы оркестрации для запуска вредоносных задач на каждом узле. Вредоносные цепочки включали разведку, скрытую установку криптовалютных майнеров, установку обратных соединений и создание механизмов закрепления. Использовались замаскированные процессы под системные службы, а также скрытая загрузка GPU для работы майнеров, которая не отображалась в инструментах наблюдения Ray.
Внутри заражённых сред обнаружены признаки конкуренции между разными преступными группами: майнеры IronErn440 активно завершали процессы соперников, блокировали их адреса и переписывали правила сетевого фильтра. В отдельных случаях операторы кампании получили доступ к конфиденциальным данным, включая ключи от облачных сервисов, параметры приложений, рабочие модели и базы данных, что выводит угрозу за пределы криптомайнинга. На части узлов зафиксированы попытки использовать скомпрометированные ресурсы для DDoS-атак.
Расследование указывает, что операция могла длиться больше года и затронула инфраструктуру на разных континентах. Рост числа открытых Ray-серверов и отсутствие исправления уязвимости создали условия для её повторного использования и эволюции методов нападения.
Специалисты подчёркивают, что корнем проблемы остаются ошибки развёртывания и отсутствие изоляции, поскольку Ray по умолчанию не предназначен для работы в открытой сети. В качестве рекомендаций предлагается проверять конфигурации с помощью инструментов Anyscale, закрывать доступ к панели Ray, использовать фильтрацию на уровне сети и контролировать аномалии внутри вычислительных сред.