چارچوب Ray، یک ابزار منبع باز برای مقیاسبندی حجم کاری هوش مصنوعی و پایتون، در برابر چندین نقص آسیبپذیر است که به هکرها اجازه میدهد دستگاهها را ربوده و دادههای حساس را بدزدند.
این به گفته محققان امنیت سایبری از Oligo است که یافتههای خود را در مورد یک کمپین هک جدید که آن را ShadowRay نامیدهاند منتشر کردند.
اپراتورهای ShadowRay که ظاهراً از اوایل سپتامبر 2023 فعال بودند، از پنج آسیبپذیری متمایز Ray برای هدف قرار دادن شرکتها در زمینه آموزش، ارزهای دیجیتال، بیوفارما و سایر بخشهای عمودی سوء استفاده کردند.
"آسیب پذیری سایه"
چهار مورد از آسیبپذیریها بهعنوان CVE-2023-6019، CVE-2023-6020، CVE-2023-6021، و CVE-2023-48023 ردیابی میشوند و Anyscale، توسعهدهنده Ray، آنها را برطرف کرده است. مورد پنجم، که توسط محققان یک نقص حیاتی اجرای کد از راه دور (RCE) بود، و به عنوان CVE-2023-48022 ردیابی شد، برطرف نشد.
Anyscale استدلال می کند که این یک اشکال نبود، بلکه یک ویژگی بود: "CVE باقیمانده (CVE-2023-48022) - که Ray دارای احراز هویت داخلی نیست - یک تصمیم طراحی طولانی مدت بر اساس نحوه ترسیم مرزهای امنیتی Ray است و مطابق با بهترین روشهای استقرار Ray است، اگرچه ما قصد داریم در نسخههای آینده احراز هویت را به عنوان بخشی از استراتژی دفاعی عمیق ارائه کنیم.
همانطور که توسعه دهندگان می گویند، این نقص RCE تنها می تواند در استقرارهایی مورد سوء استفاده قرار گیرد که برخلاف توصیه های Anyscale هستند و استفاده از Ray را به یک محیط شبکه کاملاً کنترل شده محدود نمی کنند.
از سوی دیگر، Oligo او میگوید که با به چالش کشیدن CVE، Anyscale بسیاری از توسعهدهندگان را در تاریکی حفرههای احتمالی رها میکند. ما مواردی از CVE-2023-48022 را مشاهده کردهایم که به طور فعال در طبیعت مورد سوء استفاده قرار میگیرد، و CVE مورد مناقشه را به یک «آسیبپذیری سایهای» تبدیل میکند - یک CVE که در اسکنهای ایستا نشان داده نمیشود، اما همچنان میتواند منجر به رخنهها و تلفات قابلتوجه شود.
محققان گفتند که آنها "صدها" سرور Ray را که به طور عمومی در معرض دید قرار گرفته بودند، مشاهده کردند که از طریق این آسیب پذیری در معرض خطر قرار گرفتند. در نتیجه، عوامل تهدید دادههای حساسی مانند مدلهای هوش مصنوعی، اعتبار پایگاه داده تولید و غیره را سرقت میکردند. در برخی موارد آنها حتی در حال نصب cryptominers بودند.
از طریق Bleeping Computer
ارسال نظر