Saldırganlar, Anyscale'in Ray AI yazılımındaki bir güvenlik açığından (CVE-2023-48022) yararlanarak kurumsal sunucuları tehlikeye atıyor ve bunları kripto madencileri ve ters kabuklarla donatıyor.
Oligo Security'den araştırmacı Avi Lumelsky, Help Net Security'ye “Bildiğimiz kadarıyla saldırı 7 ay önce başladı” dedi.
“Yalnızca son üç hafta içinde yüzlerce risk altındaki kümeyi gözlemledik. Her küme genel bir IP adresi kullanır ve çoğu küme yüz ila binlerce sunucu içerir. Hala savunmasız ve korunmasız durumda olan yüzlerce sunucu var.”
Güvenlik açığı hakkında (CVE-2023-48022)
Açık kaynaklı Ray çerçevesi, AI ve Python uygulamalarını dizüstü bilgisayardan kümeye ölçeklendirmek ve makine öğrenimi (ML) iş yüklerini hızlandırmak için kullanılır.
Oligo araştırmacıları, “Anyscale'e göre Uber, Amazon ve OpenAI dahil olmak üzere dünyanın en büyük kuruluşlarından bazıları üretimde Ray kullanıyor” dedi.
CVE-2023-48022, Ağustos 2023'te Bishop Fox araştırmacıları tarafından özel olarak işaretlendi ve bu, çerçevenin, İşler API'sine erişime izin vermeden önce kimlik doğrulamayı zorunlu kılmamasından kaynaklanıyor.
Açıklamanın ardından Anyscale bir düzeltme göndermemeye karar verdi (yani, Ray kontrol paneline kimlik doğrulama ekleme) ve Ray'in arayüzünün internette ifşa edilmemesi gerektiğini ve yalnızca güvenilir tarafların erişimine açık olması gerektiğini ve kimlik doğrulama eksikliğinin olduğunu ileri sürdü. gereksinimler bir hata değil, bir özelliktir.
Ancak şunları eklediler: “Bir kuruluşun Ray içindeki kimlik doğrulama gibi izolasyon kontrollerine güvenmesi gerektiğine hala inanmasak da, belirli bağlamlarda derinlemesine savunma stratejisinin geliştirilmesinin değeri olabilir ve bu nedenle bunu şu şekilde uygulayacağız: gelecekteki bir sürümde yeni bir özellik.
Ancak bu arada kuruluşlar Ray ağ hizmetlerini internete açık hale getiriyor ve bu fırsat saldırganlar tarafından ele geçiriliyor.
Saldırganlar çok fazla hasar verebilir
“Fark ettiğimiz ilk kripto madenci 21 Şubat 2024'te kuruldu. Genel web istihbarat araçlarını kullanarak, IP'nin 5 Eylül 2023'ten bu yana hedef bağlantı noktasına bağlantıları kabul ettiğini keşfettik, bu da ihlalin daha önce başlamış olabileceğini gösteriyor Oligo Güvenlik araştırmacıları, güvenlik açığının açığa çıktığını belirtti.
“Saldırıların boyutu ve olaylar zinciri nedeniyle tehdit aktörlerinin muhtemelen köklü bir bilgisayar korsanlığı grubunun parçası olduğuna inanıyoruz.”
Ancak saldırganlar Ray kümelerini yalnızca gizli kripto madenciliği için kullanmakla kalmadı; aynı zamanda sunucularla kalıcı bir bağlantı kurmak ve sunucuları uzaktan kontrol etmelerine olanak sağlamak için ters kabuklar da yerleştirdiler.
Lumelsky, “Harici IP adreslerine açık çok sayıda oturum bulduk ve Jobs API'sinde saldırganların yaptıklarını tam olarak nasıl yaptığını gösteren izler bulduk” dedi.
Güvenliği ihlal edilen makineler, aşağıdakiler de dahil olmak üzere çok sayıda hassas bilgi içeriyordu:
- OpenAI belirteçleri (OpenAI hesaplarına erişmek için kullanılabilir)
- Stripe tokenleri (Stripe ödeme hesaplarını boşaltmak için kullanılabilir)
- HuggingFace belirteçleri (saldırganların özel depolara erişmesine ve makine öğrenimi modelleriyle oynamasına olanak tanıyabilir)
- Slack tokenleri (saldırganlar, etkilenen bir kuruluşun Slack mesajlarını okumak veya mesaj göndermek için kullanabilir)
- Üretim Veritabanı kimlik bilgileri (saldırganların veritabanlarını indirmesine/değiştirmesine olanak tanır) ve daha fazlası.
Araştırmacılar, “Yapay zeka üretim iş yüklerinin tehlikeye atılması, bir saldırganın yapay zeka modelinin bütünlüğünü veya doğruluğunu etkileyebileceği, modelleri çalabileceği ve eğitim aşamasında modellere bulaşabileceği anlamına geliyor” diye ekledi.
“Etkilenen kuruluşlar; tıp şirketleri, video analiz şirketleri, elit eğitim kurumları ve çok daha fazlası dahil olmak üzere pek çok sektörden geldi.”
Temizleme ve önleme
Lumelsky, saldırganların bu hassas bilgilerle tam olarak hangi eylemleri gerçekleştirmiş olabileceğini bilmenin mümkün olmadığına dikkat çekti.
“Kripto madenciliğinin gerçekten daha iyi senaryolardan biri olduğunu biliyoruz. Saldırganlar bunun yerine kötü amaçlı modeller oluşturmayı ve hassas uygulamalarda kullanılan yapay zekanın çıktısını değiştirmeyi seçmiş olsaydı, etki çok büyük olabilirdi” yorumunu yaptı.
Oligo araştırmacıları birden fazla şirketin kümelerine yetkisiz erişimi azaltmasına yardımcı oldu ve bu kümeler artık açığa çıkmıyor. Ayrıca uzlaşma göstergelerini paylaştılar ve uygulanacak hafifletme stratejileri konusunda tavsiyelerde bulundular.
Help Net Security, Anyscale'e ulaştı ve şirketin “şu anda kullanıcıların yapılandırmalarını doğrulamasını ve kazara maruz kalmayı önlemesini kolaylaştıracak bir komut dosyası üzerinde çalıştığı” söylendi.