近日，威脅攻擊者利用開源人工智能框架 Ray 中一個未修補的安全漏洞，發(fā)動一場名為 "ShadowRay "的攻擊活動，成功入侵了數(shù)千家公司的網(wǎng)絡(luò)服務(wù)器，盜取大量敏感數(shù)據(jù)。從應(yīng)用安全公司 Oligo 披露的報告來看，此次攻擊至少從 2023 年 9 月 5 日就開始了，攻擊目標(biāo)主要圍繞在教育、加密貨幣、生物制藥等行業(yè)。

Ray 是 Anyscale 開發(fā)的一個開源框架，主要用于在機器集群中擴(kuò)展人工智能和 Python 應(yīng)用程序，以實現(xiàn)分布式計算工作負(fù)載。該框架在 GitHub 上擁有很好的“聲譽”，亞馬遜、Spotify、LinkedIn、Instacart、Netflix、Uber 和 OpenAI 等全球許多組織都在使用它訓(xùn)練 ChatGPT。

威脅攻擊者積極利用安全漏洞

2023 年 11 月，Anyscale 方面披露了五個 Ray 安全漏洞，分別追蹤為 CVE-2023-6019、CVE-2023-6020、CVE-2023-6021 、CVE-2023-48023 、CVE-2023-48022 ，其中前四個安全漏洞很快就修補了，但嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2023-48022 一直未修補。

Anyscale 指出，只有在違反項目文檔中有關(guān)限制在網(wǎng)絡(luò)環(huán)境中使用 Ray 建議的部署， CVE-2023-48022 安全漏洞才有可能被威脅攻擊者利用。值得一提的是，Anyscale 表示期平臺是作為分布式執(zhí)行框架來執(zhí)行代碼，因此并不認(rèn)為這是安全漏洞，而是一個簡單的“錯誤”。

然而，最終的結(jié)果可能沒有 Anyscale 想的那么樂觀，無論 CVE-2023-48022 安全漏洞如何歸類，其缺乏身份驗證的特性，都給威脅攻擊者創(chuàng)造了機會，使得他們能夠一直在不安全的環(huán)境中利用 CVE-2023-48022 漏洞。

Oligo 在報告中稱，由于 CVE-2023-48022 安全漏洞存在爭議，許多開發(fā)團(tuán)隊（以及大多數(shù)靜態(tài)掃描工具）都沒有對其投入過多的關(guān)注。目前，安全研究人員已經(jīng)觀察到 CVE-2023-48022 安全漏洞在野外被積極利用的實例，這就使其成為了有爭議的"影子漏洞"。（-影子漏洞：一種不會在靜態(tài)掃描中顯示，但仍可能導(dǎo)致漏洞入侵和重大損失的 CVE"）。

Oligo 安全研究人員還發(fā)現(xiàn)，威脅攻擊者通過 CVE-2023-48022 入侵了數(shù)百個公開暴露的 Ray 服務(wù)器，輕松“訪問”了大量包括人工智能模型、環(huán)境變量、生產(chǎn)數(shù)據(jù)庫憑證和云環(huán)境訪問令牌在內(nèi)的敏感信息。

暴露的秘密 （來源：Oligo）

Oligo 在一些案例中還觀察到，威脅攻擊者在機器學(xué)習(xí)訓(xùn)練中利用對顯卡的訪問權(quán)限，開展了非法加密貨幣（Monero）挖礦操作。

被入侵服務(wù)器上運行了多個 XMRig 礦機（來源：Oligo）

此外，一些威脅攻擊者成功利用反向外殼，在被入侵環(huán)境中獲得了“持久性”，并通過 Python 偽終端執(zhí)行任意代碼。

反向借殼（來源：Oligo）

研究人員還對 base64 編碼的有效載荷進(jìn)行了調(diào)查，發(fā)現(xiàn)有人試圖使用 VirusTotal 上任何反病毒引擎都未檢測到的開源腳本，試圖在被入侵機器上提升權(quán)限。

在發(fā)現(xiàn)這些問題后，Oligo 表示他們立刻向可能受到影響的公司發(fā)出了警告，并提供了修復(fù)援助。但是，想要確保 Ray 部署的絕對安全，關(guān)鍵是要在安全的環(huán)境中運行，執(zhí)行防火墻規(guī)則，為 Ray Dashboard 端口添加授權(quán)，并持續(xù)監(jiān)控異常情況。此外，還應(yīng)避免使用綁定到 0.0.0.0 等默認(rèn)設(shè)置，并利用可增強集群安全的工具。

參考文章：https://www.bleepingcomputer.com/news/security/hackers-exploit-ray-framework-flaw-to-breach-servers-hijack-resources/