Ray AI 框架漏洞被利用来攻击数百个集群

应用安全公司 Oligo 报告称，攻击者一直在利用 Ray AI 框架中缺失的身份验证漏洞来危害数百个集群。

该问题的编号为 CVE-2023-48022，于 2023 年 11 月披露，其存在是因为在默认配置下，AI 开源计算框架不强制执行身份验证，也不支持任何类型的授权模型。

攻击者可以通过 Ray 的作业提交 API 提交任意系统命令来利用该缺陷，从而允许他们访问集群中的所有笔记并检索凭据。

根据维护 Ray 框架的 Anyscale 的说法，缺乏身份验证是故意的，因为用户负责在集群外部实施安全和隔离。

Anyscale在 11 月份 表示：“剩余的 CVE (CVE-2023-48022)（Ray 没有内置身份验证）是一个长期的设计决策，基于 Ray 的安全边界如何绘制，并且与 Ray 部署最佳实践保持一致。”

维护人员表示，他们确实计划在 Ray 的未来版本中提供身份验证，但该漏洞目前仍然存在“争议”，并且尚未修补。根据 NIST NVD 咨询，CVE-2023-48022 的 CVSS 评分为 9.8。

尽管 Anyscale 呼吁在保护 Ray 集群时共同承担责任，但网络犯罪分子已经注意到该框架缺乏身份验证执行，并且至少从 2023 年 9 月（该问题公开披露前两个月）就开始利用它。

现在，Oligo 表示，它已经观察到数百个Ray 集群通过该漏洞遭到黑客攻击，攻击者窃取了大量信息，包括 AI 生产工作负载数据、数据库凭证、密码哈希、SSH 密钥以及 OpenAI、HuggingFace 和 Stripe 令牌。

此外，许多集群以 root 权限运行，提供对敏感云服务的访问，可能会泄露敏感信息，包括客户数据。受感染的集群还暴露了 Kubernetes API 访问和 Slack 令牌。

Oligo 将这次攻击活动命名为 ShadowRay，发现大多数受感染的集群都感染了加密挖矿程序，包括 XMRig、NBMiner 和基于 Java 的 Zephyr 挖矿程序，以及用于持久访问的反向 shell。

“我们注意到的第一个加密挖矿程序是在 2024 年 2 月 21 日安装的。我们发现该 IP 自 2023 年 9 月 5 日以来一直在接受与目标端口的连接，这表明漏洞可能在漏洞披露之前就已经开始了。由于攻击的规模和事件链，我们认为威胁行为者可能是一个成熟的黑客组织的一部分，”奥利戈说。

该安全公司还指出，攻击者通过利用 Interactsh 开源服务进行连接请求来逃避检测，并且由于所利用的漏洞存在争议，这意味着组织甚至没有意识到自己面临风险。

更新：鉴于 Oligo 发现的恶意活动，Anyscale 宣布发布客户端脚本和服务器端代码，以帮助用户识别具有潜在暴露端口的 Ray 部署。但是，该工具不能保证识别所有暴露的端口，并且“不会尝试验证已识别的开放端口上正在运行的内容”。

原文始发于微信公众号（河南等级保护测评）：Ray AI 框架漏洞被利用来攻击数百个集群