Peneliti keamanan siber memperingatkan bahwa pelaku ancaman secara aktif mengeksploitasi kerentanan yang “disengketakan” dan belum ditambal dalam platform kecerdasan buatan (AI) sumber terbuka yang disebut Anyscale Ray untuk membajak daya komputasi untuk penambangan mata uang kripto ilegal.

“Kerentanan ini memungkinkan penyerang mengambil alih kekuatan komputasi perusahaan dan membocorkan data sensitif,” kata peneliti Keamanan Oligo Avi Lumelsky, Guy Kaplan, dan Gal Elbaz dalam pengungkapannya pada hari Selasa.

“Kelemahan ini telah dieksploitasi secara aktif selama tujuh bulan terakhir, mempengaruhi sektor-sektor seperti pendidikan, cryptocurrency, biofarmasi, dan banyak lagi.”

Kampanye tersebut, yang berlangsung sejak September 2023, diberi nama sandi ShadowRay oleh perusahaan keamanan aplikasi Israel. Hal ini juga menandai pertama kalinya beban kerja AI ditargetkan di alam liar karena kekurangan yang mendasari infrastruktur AI.

Ray adalah kerangka kerja komputasi sumber terbuka yang terkelola sepenuhnya yang memungkinkan organisasi membangun, melatih, dan menskalakan beban kerja AI dan Python. Ini terdiri dari runtime inti yang terdistribusi dan serangkaian perpustakaan AI untuk menyederhanakan platform ML.

Ini digunakan oleh beberapa perusahaan terbesar, antara lain OpenAI, Uber, Spotify, Netflix, LinkedIn, Niantic, dan Pinterest.

Kerentanan keamanan yang dimaksud adalah CVE-2023-48022 (skor CVSS: 9.8), bug autentikasi penting yang hilang yang memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer melalui API pengiriman pekerjaan. Hal ini dilaporkan oleh Uskup Fox bersama dua kelemahan lainnya pada Agustus 2023.

Perusahaan keamanan siber tersebut mengatakan kurangnya kontrol otentikasi di dua komponen Ray, Dashboard, dan Klien, dapat dieksploitasi oleh “pihak yang tidak berwenang untuk secara bebas mengirimkan pekerjaan, menghapus pekerjaan yang ada, mengambil informasi sensitif, dan mencapai eksekusi perintah jarak jauh.”

Hal ini memungkinkan untuk memperoleh akses sistem operasi ke semua node di cluster Ray atau mencoba mengambil kredensial instans Ray EC2. Anyscale, dalam sebuah nasihat yang diterbitkan pada November 2023, mengatakan pihaknya tidak berencana untuk memperbaiki masalah tersebut pada saat ini.

“Bahwa Ray tidak memiliki autentikasi bawaan – merupakan keputusan desain jangka panjang yang didasarkan pada bagaimana batasan keamanan Ray digambarkan dan konsisten dengan praktik terbaik penerapan Ray, meskipun kami bermaksud menawarkan autentikasi dalam versi mendatang sebagai bagian dari pertahanan -strategi mendalam,” kata perusahaan itu .

Ia juga memperingatkan dalam dokumentasinya bahwa penyedia platform bertanggung jawab untuk memastikan bahwa Ray berjalan di “lingkungan jaringan yang cukup terkontrol” dan bahwa pengembang dapat mengakses Ray Dashboard dengan cara yang aman.

Oligo mengatakan pihaknya mengamati kerentanan bayangan dieksploitasi untuk menembus ratusan cluster GPU Ray, yang berpotensi memungkinkan pelaku ancaman mendapatkan kredensial sensitif dan informasi lain dari server yang disusupi.

Ini termasuk kata sandi basis data produksi, kunci SSH pribadi, token akses yang terkait dengan OpenAI, HuggingFace, Slack, dan Stripe, kemampuan untuk meracuni model, dan peningkatan akses ke lingkungan cloud dari Amazon Web Services, Google Cloud, dan Microsoft Azure.

Dalam banyak kasus, instance yang terinfeksi ditemukan diretas dengan penambang mata uang kripto (misalnya, XMRig, NBMiner, dan Zephyr) dan reverse shell untuk akses jarak jauh yang persisten.

Penyerang tak dikenal di balik ShadowRay juga telah menggunakan alat sumber terbuka bernama Interactsh untuk tidak terdeteksi radar.

“Ketika penyerang mendapatkan kluster produksi Ray, itu adalah sebuah jackpot,” kata para peneliti. “Data perusahaan yang berharga ditambah eksekusi kode jarak jauh memudahkan monetisasi serangan — namun tetap berada dalam bayang-bayang, sama sekali tidak terdeteksi (dan, dengan alat keamanan statis, tidak terdeteksi).”

Memperbarui

Dalam sebuah pernyataan yang dibagikan kepada The Hacker News, juru bicara Anyscale mengatakan pihaknya belum menerima laporan apa pun dari pengguna atau pelanggan tentang aktivitas jahat dan telah merilis alat untuk membantu organisasi menentukan apakah cluster mereka terekspos secara tidak sengaja dan mengambil langkah untuk menambahkan keamanan yang sesuai. konfigurasi.

Utilitas sumber terbuka, bernama Ray Open Ports Checker , mencakup skrip sisi klien dan kode sisi server yang memungkinkan pengguna untuk “memvalidasi bahwa cluster mereka tidak dikonfigurasi secara salah sehingga memungkinkan klien yang tidak tepercaya menjalankan kode arbitrer di komputer mereka. cluster.”

Anyscale juga mengatakan pihaknya bermaksud untuk memasukkan kemampuan ini secara default di Ray 2.11, yang diperkirakan akan dirilis pada bulan April.