Los investigadores de ciberseguridad advierten que los actores de amenazas están explotando activamente una vulnerabilidad «disputada» y sin parches en una plataforma de inteligencia artificial (IA) de código abierto llamada Anyscale Ray para secuestrar la potencia informática para la minería ilícita de criptomonedas.
«Esta vulnerabilidad permite a los atacantes apoderarse de la potencia informática de las empresas y filtrar datos confidenciales», afirman los investigadores de Oligo Security Avi Lumelsky, Guy Kaplan y Gal Elbaz. dicho en una divulgación del martes.
«Esta falla ha estado bajo explotación activa durante los últimos siete meses, afectando a sectores como la educación, las criptomonedas, la biofarmacia y más».
La campaña, en curso desde septiembre de 2023, lleva el nombre en código rayosombra por la empresa israelí de seguridad de aplicaciones. También marca la primera vez que las cargas de trabajo de IA han sido atacadas en la naturaleza debido a las deficiencias que sustentan la infraestructura de IA.
Rayo es un marco informático de código abierto y totalmente administrado que permite a las organizaciones crear, entrenar y escalar cargas de trabajo de IA y Python. Consiste en un tiempo de ejecución distribuido central y un conjunto de bibliotecas de IA para simplificar la plataforma ML.
Lo utilizan algunas de las empresas más importantes, incluidas OpenAI, Uber, Spotify, Netflix, LinkedIn, Niantic y Pinterest, entre otras.
La vulnerabilidad de seguridad en cuestión es CVE-2023-48022 (Puntuación CVSS: 9,8), un error crítico de autenticación faltante que permite a atacantes remotos ejecutar código arbitrario a través de la API de envío de trabajos. El obispo Fox informó sobre esto junto con otras dos fallas en agosto de 2023.
La empresa de ciberseguridad dijo que la falta de controles de autenticación en dos componentes de Ray, Dashboard y Client, podría deberse explotado por «actores no autorizados para enviar trabajos libremente, eliminar trabajos existentes, recuperar información confidencial y lograr la ejecución remota de comandos».
Esto hace posible obtener acceso al sistema operativo a todos los nodos del clúster de Ray o intentar recuperar las credenciales de la instancia Ray EC2. Anyscale, en un aviso publicado en noviembre de 2023, dijo que no planea solucionar el problema en este momento.
«Que Ray no tenga autenticación incorporada es una decisión de diseño de larga data basada en cómo se trazan los límites de seguridad de Ray y es consistente con las mejores prácticas de implementación de Ray, aunque tenemos la intención de ofrecer autenticación en una versión futura como parte de una defensa. -Estrategia de profundidad», la empresa anotado.
También precauciones en su documentación que es responsabilidad del proveedor de la plataforma garantizar que Ray se ejecute en «entornos de red suficientemente controlados» y que los desarrolladores puedan acceder a Ray Dashboard de forma segura.
Oligo dijo que observó que la vulnerabilidad en la sombra se explotaba para violar cientos de clústeres de GPU Ray, lo que potencialmente permitía a los actores de amenazas hacerse con un tesoro de credenciales confidenciales y otra información de los servidores comprometidos.
Esto incluye contraseñas de bases de datos de producción, claves SSH privadas, tokens de acceso relacionados con OpenAI, HuggingFace, Slack y Stripe, la capacidad de envenenar modelos y acceso elevado a entornos de nube desde Amazon Web Services, Google Cloud y Microsoft Azure.
En muchos de los casos, se ha descubierto que las instancias infectadas fueron pirateadas con mineros de criptomonedas (por ejemplo, XMRig, NBMiner y Zephyr) y shells inversos para acceso remoto persistente.
Los atacantes desconocidos detrás de ShadowRay también utilizaron una herramienta de código abierto llamada Interactuar volar bajo el radar.
«Cuando los atacantes ponen sus manos en un clúster de producción de Ray, es un premio gordo», dijeron los investigadores. «Los datos valiosos de la empresa, además de la ejecución remota de código, facilitan la monetización de los ataques, todo ello mientras se permanece en las sombras, totalmente desapercibido (y, con herramientas de seguridad estáticas, indetectable)».
