开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

Oligo 公司发布报告称，攻击至少始于2023年9月5日，针对的是教育、密币、生物制药等行业。Ray 是一款由 Anyscale 开发的开源框架，用于扩展机器集群中的AI和 Python 应用以分发计算工作负载。该框架在 GitHub 上的star 数量超过3.05万颗，用于全球很多组织机构中，包括亚马逊、Spotify、LinkedIn、Instacart、Netflix、Uber 和 OpenAI，以训练ChatGPT。

2023年11月，Anyscale 披露了5个 Ray 漏洞，并修复了其中的4个，包括 CVE-2023-6019、CVE-2023-6020、CVE-2023-6021和CVE-2024-48023。

不过该公司并未修复第5个漏洞即严重的RCE漏洞 (CVE-2023-48022)，原因是缺乏认证是一个长期存在的设计决策。AnyScale 在安全公告中提到，“剩下的CVE漏洞是Ray不具有内置认证的，它是基于 Ray 安全边界如何划定以及Ray部署最佳实践的方式做出的长期设计决策，尽管如此，我们会在未来的版本中提供认证，作为纵深防御战略的一部分。”

具体而言，AnyScale 表示该漏洞仅在违反了该项目文档中提到的仅限在严格受控的网络环境中使用Ray的建议时，才可在部署中遭利用。另外，该公司认为这些缺陷并非漏洞而是bug，因为平台的设计就是作为分布式执行框架来执行代码。不管该缺陷的分类如何，缺少认证已为黑客提供了在不安全环境中利用该漏洞的机会。Oligo 公司在报告中提到，“因为 CVE-2023-48022存在争议，很多部署团队（以及多数静态扫描工具）并未发现应重视该漏洞。其中一些团队或工具可能错过了Ray文档的这部分内容，其他人或工具可能并未发现这一特性。我们已发现该漏洞遭在野利用的迹象，因此这个受争议的CVE成为‘影子漏洞’，即它并不会出现在静态扫描中，但仍然可导致攻陷和重大损失。”

Oligo 公司表示，数百台公开暴露的 Ray 服务器遭该漏洞利用攻陷，可导致攻击者访问敏感信息包括AI模型、环境变量、生产数据库凭据以及云环境访问令牌。在一些案例中，研究人员观察到攻击者利用对机器学习训练中强大显卡的访问权限，从事密币（门罗币）的挖掘。其他人利用反向 shell 获得对受陷环境的持久性，通过Python的伪终端执行任意代码。研究人员还调查了 base64 编码 payload，发现VirusTotal 中的任何AV 引擎均未能发现使用开源脚本在受陷机器提升权限的行为。

研究人员提到已经提醒很多受陷企业并提供修复协助。

要保护Ray部署的安全性，通过执行防火墙规则、向 Ray 仪表盘端口增加授权并持续监控异常情况等方式在安全环境中进行操作至关重要。另外应当避免使用默认设置如绑定到0.0.0.0，而使用增强集群安全态势的工具。