自 2023 年 9 月 5 日以来,一种名为“ShadowRay”活动的复杂网络威胁针对 Ray 框架中的漏洞。
该活动凸显了 Ray 框架中的一个严重漏洞,该框架由 Anyscale 开发,并被 Amazon 和OpenAI
等巨头使用 ,用于协调教育、加密货币和生物制药等领域的大量 AI 和 Python 应用程序。
Ray 的 GitHub 存储库已获得超过
30,500
颗星,其泄露标志着网络间谍活动中的重大事件,影响了数百台服务器并泄露了敏感数据。
Ray 的众多用户中的一些(来源:ray.io)
攻击者如何利用 Ray 的 Jobs API?
由于CVE-2023-48022
漏洞,Ray 的 Jobs API 中缺乏授权会带来重大的安全风险,为未经授权的用户的潜在滥用打开了大门 。
鉴于任何有权访问仪表板网络(HTTP 端口 8265)的人都可能在没有任何形式的身份验证的情况下在远程主机上执行任意作业,因此该漏洞变得尤其令人担忧。
Ray 的官方文档强调了安全最佳实践的重要性,强调安全和隔离措施必须在 Ray Cluster 之外强制执行。然而,很明显,如果没有适当的授权机制,未经授权的访问风险仍然不会减轻。
Ray 背后的公司 Anyscale 声称,用户有责任确保 Ray 执行能力的本地性和安全性。他们建议仪表板应该无法从互联网访问或仅限于受信任的各方。
然而,这种方法在安全性方面留下了一个关键漏洞,因为它依赖于具有足够路由逻辑(例如网络隔离、Kubernetes 命名空间、防火墙规则或安全组)的安全环境的假设。
CVE-2023-48022漏洞卡(SOCRadar漏洞情报)
许多业内人士并不知道 Ray 仪表板中存在的漏洞,尤其是与其 Jobs API 相关的漏洞。此外,这些漏洞(包括提到的 CVE)的披露并没有很快引起广泛关注。
例如,Ray 的官方 Kubernetes 部署指南和 Kuberay 的 Kubernetes 运营商鼓励在 0.0.0.0 上公开仪表板,这可能会通过使其可供更广泛的网络实体访问而加剧风险。
Kuberay 的 Kubernetes 操作员指南
MITRE 为与 Ray 的 Jobs API 相关的安全漏洞评分为 9.8 分。但值得注意的是,该漏洞目前在
MITRE 框架
内被标记为“有争议” 。
CVE 有争议的说明
野外利用射线簇:哪些敏感数据受到损害?
当黑客破坏 Ray 生产集群时,他们可以访问宝贵的公司数据,并可以在不被发现的情况下运行自己的代码,从而利用传统安全工具的局限性。这导致大量敏感信息从受感染的服务器泄漏。
攻击者能够操纵
人工智能
生产工作负载,可能影响人工智能模型的准确性和可靠性,并影响包括医疗保健、视频分析和顶级学校在内的各个行业。
Ray 生产集群的泄露使攻击者能够访问
生产数据库凭据
,使他们能够悄悄下载整个数据库并在某些计算机上使用勒索软件篡改或加密它们。
生产数据库凭证
此外,有证据表明,攻击者通过一个简单的命令“cat /etc/shadow”从计算机获取了密码哈希值,该命令在作业历史记录中执行了多次,表明渗透成功。
Ray 的工作历史显示,攻击者窃取了密码并启动了反向 shell。
Oligo 研究人员还
发现了
许多 SSH 私钥,这些密钥可用于使用相同的 VM 映像模板来访问其他机器,以扩展
加密货币挖掘活动
的计算能力 或建立持久性。
AWS 集群计算机凭证,允许使用 SSH 连接到集群的所有计算机。
还发现了 OpenAI、HuggingFace 和 Stripe 代币,这些代币可被用来耗尽受影响公司的信用、渗透账户并覆盖模型、执行未经授权的交易,甚至导致
供应链攻击
。
人工智能模型实时处理用户提交的查询。该模型可能会被攻击者滥用,从而改变客户的请求或响应。
此外,攻击者可以从受感染的 Ray 集群获取对云环境(AWS、GCP、Azure、Lambda Labs)的访问权限,其中许多集群以提升的权限运行。这些受损的集群为攻击者提供了对敏感云服务的访问权限,可能会暴露完整的数据库、客户数据、代码库、工件和秘密。
此外,KubernetesAPI 访问使攻击者能够感染云工作负载并窃取 Kubernetes 机密。
Kuberay Operator 在 Kubernetes API 上以管理员权限运行。
调查还发现了 Slack 代币;利用这些令牌可能会授予对组织的 Slack 消息的未经授权的访问权限,并使攻击者能够发送任意消息,从而损害机密性和完整性。
ShadowRay 活动的财务影响
受感染的机器具有巨大的经济价值,特别是考虑到受影响的 GPU 型号的稀缺性。其中许多 GPU 模型目前无法通过常规渠道获取且具有挑战性。
例如, 从机器中观察到的
A6000 GPU
在NVIDIA官网上已经缺货。这种稀缺性放大了它们的市场价值,并凸显了由于它们的妥协而造成的巨大财务损失。
来自受感染机器的 nvidia-smi 输出
加密货币挖矿活动的时间表和范围
研究人员透露,第一个加密货币挖矿程序于 2024 年 2 月 21 日启动。然而,公共网络情报工具表明,相关 IP 自 2023 年 9 月 5 日以来一直在接受与目标端口的连接,这表明存在潜在的预披露漏洞。
据报道,这些攻击的规模和时间都表明有一个复杂的黑客组织参与其中。
在发现的加密货币挖矿活动中,有 XMRig 矿工的实例,其中一些在内存中运行,无需磁盘下载,这使得检测和根除工作变得复杂。值得注意的是,还发现了 NBMiner 和基于 Java 的 Zephyr 矿工的存在。
攻击者的身份
这些攻击中使用的命令行包含攻击者的独特用户名和密码,以及与之通信的服务器。通过检查矿池,研究人员成功地确定了攻击者在排行榜上的位置,揭示了这些加密货币挖矿操作背后的犯罪者的身份和活动。
攻击者在矿池内3216 名矿工
中排名第 148 位 ,在参与矿池的矿工中排名前 5%。这凸显了他们的剥削努力的程度以及他们的活动在
加密货币
挖矿社区中的重大影响。
攻击者在 3216 名中排名第 148 位。
使用反向 shell 建立持久访问
我们发现了多个反向 shell 实例,使攻击者能够在生产环境中执行任意代码,从而对受影响基础设施的安全性和完整性构成重大威胁。
Ray星团上最古老的反向壳记录是2023年9月5日
此外,通过对oast.fun
域的进一步调查 ,发现攻击者正在利用开源服务
Interactsh
来逃避检测。
使用interactsh,攻击者从客户端接收有关DNS查询的带外通知
