Οργανισμοί που χρησιμοποιούν το Ray, το πλαίσιο ανοιχτού κώδικα για την κλιμάκωση του φόρτου εργασίας της τεχνητής νοημοσύνης και της μηχανικής μάθησης, εκτίθενται σε επιθέσεις μέσω μιας τριάδας τρωτών σημείων που δεν έχουν ακόμη επιδιορθωθεί στην τεχνολογία, δήλωσαν ερευνητές αυτήν την εβδομάδα.
Πιθανώς βαριά ζημιά
Τα τρωτά σημεία δίνουν στους εισβολείς έναν τρόπο, μεταξύ άλλων, να αποκτήσουν πρόσβαση στο λειτουργικό σύστημα σε όλους τους κόμβους σε ένα σύμπλεγμα Ray, να ενεργοποιήσουν την απομακρυσμένη εκτέλεση κώδικα και να κλιμακώσουν τα προνόμια. Τα ελαττώματα αποτελούν απειλή για τους οργανισμούς που εκθέτουν τις εμφανίσεις Ray τους στο Διαδίκτυο ή ακόμα και σε ένα τοπικό δίκτυο.
Ερευνητές από τον Επίσκοπο Φοξ ανακάλυψε τα τρωτά σημεία και τα ανέφερε στην Anyscale — η οποία πουλά μια πλήρως διαχειριζόμενη έκδοση της τεχνολογίας — τον Αύγουστο. Ερευνητές από τον προμηθευτή ασφαλείας Protect AI ανέφεραν επίσης ιδιωτικά δύο από τα ίδια τρωτά σημεία στο Anyscale στο παρελθόν.
Αλλά μέχρι στιγμής, η Anyscale δεν έχει αντιμετωπίσει τα ελαττώματα, λέει η Berenice Flores Garcia, ανώτερη σύμβουλος ασφαλείας στο Bishop Fox. "Η θέση τους είναι ότι τα τρωτά σημεία είναι άσχετα επειδή το Ray δεν προορίζεται για χρήση εκτός ενός αυστηρά ελεγχόμενου περιβάλλοντος δικτύου και ισχυρίζεται ότι αυτό αναφέρεται στην τεκμηρίωσή τους", λέει ο Garcia.
Η Anyscale δεν απάντησε αμέσως σε αίτημα για σχολιασμό του Dark Reading.
Το Ray είναι μια τεχνολογία που μπορούν να χρησιμοποιήσουν οι οργανισμοί να διανείμει την εκτέλεση σύνθετης τεχνητής νοημοσύνης με ένταση υποδομής και φόρτους εργασίας μηχανικής εκμάθησης. Πολλοί μεγάλοι οργανισμοί (συμπεριλαμβανομένων των OpenAI, Spotify, Uber, Netflix και Instacart) χρησιμοποιούν αυτήν τη στιγμή την τεχνολογία για τη δημιουργία επεκτάσιμων νέων εφαρμογών τεχνητής νοημοσύνης και μηχανικής εκμάθησης. της Amazon Το AWS έχει ενσωματώσει το Ray σε πολλές από τις υπηρεσίες cloud της και την έχει τοποθετήσει ως τεχνολογία που μπορούν να χρησιμοποιήσουν οι οργανισμοί για να επιταχύνουν την κλιμάκωση των εφαρμογών AI και ML.
Εύκολη εύρεση και εκμετάλλευση
Τα τρωτά σημεία που ανέφερε ο Bishop Fox στην Anyscale αφορούν ακατάλληλο έλεγχο ταυτότητας και επικύρωση εισόδου στο Ray Dashboard, στο Ray Client και ενδεχομένως σε άλλα στοιχεία. Τα τρωτά σημεία επηρεάζουν τις εκδόσεις Ray 2.6.3 και 2.8.0 και επιτρέπουν στους εισβολείς έναν τρόπο να αποκτήσουν δεδομένα, σενάρια ή αρχεία που είναι αποθηκευμένα σε ένα σύμπλεγμα Ray. «Εάν το πλαίσιο Ray είναι εγκατεστημένο στο cloud (δηλαδή, το AWS), είναι δυνατό να ανακτηθούν διαπιστευτήρια IAM με υψηλή προνομιακή τιμή που επιτρέπουν την κλιμάκωση των προνομίων», δήλωσε ο Bishop Fox στην έκθεσή του.
Τα τρία τρωτά σημεία που ο Επίσκοπος Φοξ ανέφερε στην Anyscale είναι CVE-2023-48023, μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) που συνδέεται με έλλειψη ελέγχου ταυτότητας για μια κρίσιμη συνάρτηση. CVE-2023-48022, μια ευπάθεια πλαστογραφίας αιτήματος από την πλευρά του διακομιστή στο API Ray Dashboard που ενεργοποιεί το RCE. και CVE-2023-6021, ένα σφάλμα επικύρωσης μη ασφαλούς εισόδου που επιτρέπει επίσης σε έναν απομακρυσμένο εισβολέα να εκτελέσει κακόβουλο κώδικα σε ένα επηρεαζόμενο σύστημα.
Η αναφορά του Bishop Fox για τα τρία τρωτά σημεία περιελάμβανε λεπτομέρειες για το πώς ένας εισβολέας θα μπορούσε ενδεχομένως να εκμεταλλευτεί τα ελαττώματα για να εκτελέσει αυθαίρετο κώδικα.
Τα τρωτά σημεία είναι εύκολο να αξιοποιηθούν και οι επιτιθέμενοι δεν απαιτούν υψηλό επίπεδο τεχνικών δεξιοτήτων για να τις εκμεταλλευτούν, λέει ο Garcia. "Ένας εισβολέας απαιτεί μόνο απομακρυσμένη πρόσβαση στις θύρες ευάλωτων στοιχείων - θύρες 8265 και 10001 από προεπιλογή - από το Διαδίκτυο ή από ένα τοπικό δίκτυο" και κάποιες βασικές γνώσεις Python, λέει.
«Τα ευάλωτα στοιχεία είναι πολύ εύκολο να βρεθούν εάν το περιβάλλον εργασίας του Ray Dashboard είναι εκτεθειμένο. Αυτή είναι η πύλη για την εκμετάλλευση των τριών τρωτών σημείων που περιλαμβάνονται στη συμβουλευτική», προσθέτει. Σύμφωνα με τον Garcia, εάν δεν εντοπιστεί το Ray Dashboard, θα απαιτηθεί ένα πιο συγκεκριμένο δακτυλικό αποτύπωμα των θυρών υπηρεσίας για τον εντοπισμό των ευάλωτων θυρών. «Μόλις εντοπιστούν τα ευάλωτα στοιχεία, είναι πολύ εύκολο να τα εκμεταλλευτούμε ακολουθώντας τα βήματα από τις συμβουλές», λέει ο Garcia.
Η συμβουλή του Bishop Fox δείχνει πώς ένας εισβολέας θα μπορούσε να εκμεταλλευτεί τα τρωτά σημεία για να αποκτήσει ένα ιδιωτικό κλειδί και εξαιρετικά προνομιακά διαπιστευτήρια από έναν λογαριασμό cloud AWS όπου είναι εγκατεστημένο το Ray. Ωστόσο, τα ελαττώματα επηρεάζουν όλους τους οργανισμούς που εκθέτουν το λογισμικό στο Διαδίκτυο ή στο τοπικό δίκτυο.
Ελεγχόμενο Περιβάλλον Δικτύου
Αν και το Anycase δεν απάντησε στο Dark Reading, το τεκμηρίωση της εταιρείας δηλώνει την ανάγκη για τους οργανισμούς να αναπτύξουν συστάδες Ray σε ένα ελεγχόμενο περιβάλλον δικτύου. "Η Ray αναμένει να εκτελεστεί σε ένα ασφαλές περιβάλλον δικτύου και να ενεργεί βάσει αξιόπιστου κώδικα", αναφέρει η τεκμηρίωση. Αναφέρει την ανάγκη για τους οργανισμούς να διασφαλίσουν ότι η κυκλοφορία δικτύου μεταξύ των στοιχείων Ray πραγματοποιείται σε απομονωμένο περιβάλλον και να έχουν αυστηρούς ελέγχους δικτύου και μηχανισμούς ελέγχου ταυτότητας κατά την πρόσβαση σε πρόσθετες υπηρεσίες.
"Η Ray εκτελεί πιστά τον κώδικα που της μεταβιβάζεται - η Ray δεν κάνει διαφοροποίηση μεταξύ ενός πειράματος συντονισμού, μιας εγκατάστασης rootkit ή μιας επιθεώρησης κάδου S3", σημείωσε η εταιρεία. "Οι προγραμματιστές Ray είναι υπεύθυνοι για τη δημιουργία των εφαρμογών τους έχοντας αυτή την αντίληψη στο μυαλό."
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads
- :έχει
- :είναι
- :δεν
- :που
- 7
- 8
- a
- επιταχύνουν
- πρόσβαση
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- Πράξη
- Πρόσθετος
- απευθύνεται
- Προσθέτει
- Πλεονέκτημα
- συμβουλευτικός
- επηρεάζουν
- επηρεαστούν
- AI
- AI / ML
- Όλα
- επιτρέπουν
- Επίσης
- Amazon
- μεταξύ των
- an
- και
- κάθε
- api
- εφαρμογές
- εφαρμογές
- ΕΙΝΑΙ
- τεχνητός
- τεχνητή νοημοσύνη
- Τεχνητή Νοημοσύνη και Εκμάθηση Μηχανών
- AS
- At
- Επιθέσεις
- Αύγουστος
- Πιστοποίηση
- AWS
- βασικός
- BE
- επειδή
- μεταξύ
- Κτίριο
- αλλά
- by
- CAN
- αξιώσεις
- πελάτης
- Backup
- υπηρεσίες cloud
- συστάδα
- κωδικός
- σχόλιο
- εταίρα
- συγκρότημα
- συστατικό
- εξαρτήματα
- σύμβουλος
- ελέγχεται
- ελέγχους
- θα μπορούσε να
- Διαπιστεύσεις
- κρίσιμης
- Τη στιγμή
- CVE
- σκοτάδι
- Σκοτεινή ανάγνωση
- ταμπλό
- ημερομηνία
- Προεπιλογή
- παρατάσσω
- καθέκαστα
- εντοπιστεί
- προγραμματιστές
- DID
- διαφοροποιούν
- do
- τεκμηρίωση
- Όχι
- e
- εύκολος
- ενεργοποιήσετε
- δίνει τη δυνατότητα
- εξασφαλίζω
- Περιβάλλον
- σφάλμα
- κλιμακώνω
- κλιμάκωση
- Even
- εκτελέσει
- Εκτελεί
- εκτέλεση
- αναμένει
- πείραμα
- Εκμεταλλεύομαι
- εκτεθειμένος
- μακριά
- Αρχεία
- Εύρεση
- δακτυλικό αποτύπωμα
- ελαττώματα
- Εξής
- Για
- πλαστογραφία
- Βρέθηκαν
- αλεπού
- Πλαίσιο
- από
- πλήρως
- λειτουργία
- Κέρδος
- πύλη
- Δώστε
- συμβαίνει
- Έχω
- βαριά
- Ψηλά
- υψηλά
- Πως
- HTML
- HTTPS
- i
- προσδιορίζονται
- προσδιορίσει
- if
- αμέσως
- in
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- εισαγωγή
- ανασφαλής
- instacart
- εγκαθιστώ
- εγκατασταθεί
- ενσωματωθεί
- Νοημοσύνη
- προορίζονται
- Internet
- σε
- απομονωμένος
- IT
- ΤΟΥ
- jpg
- Κλειδί
- γνώση
- large
- μάθηση
- Επίπεδο
- τοπικός
- μηχανή
- μάθηση μηχανής
- διαχειρίζεται
- πολοί
- μηχανισμούς
- αναφέρει
- νου
- Λείπει
- ML
- περισσότερο
- Ανάγκη
- Netflix
- δίκτυο
- επισκεψιμότητα δικτύου
- Νέα
- nist
- κόμβων
- Σημειώνεται
- αποκτήσει
- of
- on
- μια φορά
- αποκλειστικά
- ανοίξτε
- ανοικτού κώδικα
- OpenAI
- λειτουργίας
- το λειτουργικό σύστημα
- or
- οργανώσεις
- ΑΛΛΑ
- εκτός
- πέρασε
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- λιμένες
- θέση
- τοποθετημένες
- δυνατός
- ενδεχομένως
- παρόν
- προηγουμένως
- ιδιωτικός
- ιδιωτικού κλειδιού
- προνόμιο
- προνομιούχος
- προνόμια
- προστασία
- Python
- RAY
- Ανάγνωση
- μακρινός
- απομακρυσμένη πρόσβαση
- αναφέρουν
- αναφέρθηκαν
- ζητήσει
- απαιτούν
- απαιτείται
- Απαιτεί
- ερευνητές
- Απάντηση
- υπεύθυνος
- τρέξιμο
- s
- ένα ασφαλές
- Είπε
- ίδιο
- λέει
- επεκτάσιμη
- απολέπιση
- Εφαρμογές
- ασφάλεια
- Πωλήσεις
- αρχαιότερος
- υπηρεσία
- Υπηρεσίες
- αυτή
- Δείχνει
- δεξιότητες
- So
- μέχρι τώρα
- λογισμικό
- μερικοί
- Πηγή
- συγκεκριμένες
- Spotify
- δήλωσε
- Μελών
- Βήματα
- αποθηκεύονται
- Αυστηρός
- σύστημα
- Πάρτε
- Τεχνικός
- τεχνικές δεξιότητες
- Τεχνολογία
- ότι
- Η
- τους
- Τους
- αυτοί
- πράγματα
- αυτό
- αυτή την εβδομάδα
- απειλή
- τρία
- Δεμένος
- προς την
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- Μουσικό τρίο
- Έμπιστος
- βραχυχρόνιων διακυμάνσεων της ρευστότητας
- δύο
- Uber
- ui
- κατανόηση
- επάνω σε
- χρήση
- χρησιμοποιώντας
- επικύρωση
- πάροχος υπηρεσιών
- εκδοχή
- εκδόσεις
- πολύ
- μέσω
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- Τρόπος..
- εβδομάδα
- πότε
- Ποιό
- με
- θα
- ακόμη
- zephyrnet