Teadlased ütlesid sel nädalal, et organisatsioonid, mis kasutavad tehisintellekti ja masinõppe töökoormuse skaleerimiseks avatud lähtekoodiga raamistikku Ray, puutuvad kokku rünnakutega tehnoloogia kolmiku veel parandamata haavatavusega.
Potentsiaalselt rasked kahjustused
Turvaaukud annavad ründajatele muuhulgas võimaluse saada operatsioonisüsteemile juurdepääs kõikidele Ray klastri sõlmedele, võimaldada koodi kaugkäivitamist ja suurendada privileege. Vead ohustavad organisatsioone, kes avaldavad oma Ray eksemplare Internetti või isegi kohalikku võrku.
Piiskop Foxi teadlased avastas haavatavused ja teatas neist augustis Anyscale'ile, mis müüb tehnoloogia täielikult hallatud versiooni. Turbemüüja Protect AI teadlased teatasid Anyscale'ile varem ka kahest samast haavatavusest.
Kuid siiani pole Anyscale puudustega tegelenud, ütleb Bishop Foxi vanemjulgeolekukonsultant Berenice Flores Garcia. "Nende seisukoht on, et haavatavused on ebaolulised, kuna Ray ei ole mõeldud kasutamiseks väljaspool rangelt kontrollitud võrgukeskkonda ja väidab, et see on nende dokumentatsioonis märgitud," ütleb Garcia.
Anyscale ei vastanud kohe pimeda lugemise kommentaaritaotlusele.
Ray on tehnoloogia, mida organisatsioonid saavad kasutada levitada keeruka, infrastruktuurimahuka tehisintellekti täitmist ja masinõppe töökoormused. Paljud suured organisatsioonid (sh OpenAI, Spotify, Uber, Netflix ja Instacart) kasutavad praegu seda tehnoloogiat uute skaleeritavate tehisintellekti ja masinõppe rakenduste loomiseks. Amazoni oma AWS-is on Ray integreeritud paljudes oma pilveteenustes ja on positsioneerinud selle tehnoloogiana, mida organisatsioonid saavad kasutada AI- ja ML-rakenduste skaleerimise kiirendamiseks.
Lihtne leida ja kasutada
Haavatavused, millest Bishop Fox Anyscale'ile teatas, on seotud Ray Dashboardi, Ray Clienti ja potentsiaalselt muude komponentide ebaõige autentimise ja sisendi valideerimisega. Turvaaugud mõjutavad Ray versioone 2.6.3 ja 2.8.0 ning võimaldavad ründajatel hankida Ray klastris salvestatud andmeid, skripte või faile. "Kui Ray raamistik on installitud pilve (st AWS), on võimalik hankida kõrgelt privilegeeritud IAM-i mandaate, mis võimaldavad privileegide eskalatsiooni," ütles piiskop Fox oma aruandes.
Kolm haavatavust, millest Bishop Fox Anyscale'ile teatas, on CVE-2023-48023, koodi kaugkäivitamise (RCE) haavatavus, mis on seotud kriitilise funktsiooni autentimise puudumisega; CVE-2023-48022, serveripoolse päringu võltsimise haavatavus Ray Dashboard API-s, mis võimaldab RCE-d; ja CVE-2023-6021, ebaturvalise sisendi valideerimise viga, mis võimaldab kaugründajal käivitada mõjutatud süsteemis pahatahtlikku koodi.
Bishop Foxi aruanne kolme haavatavuse kohta sisaldas üksikasju selle kohta, kuidas ründaja võib vigu ära kasutada suvalise koodi käivitamiseks.
Turvaauke on lihtne ära kasutada ja ründajad ei vaja nende ärakasutamiseks kõrgetasemelisi tehnilisi oskusi, ütleb Garcia. "Ründaja vajab Internetist või kohalikust võrgust ainult kaugjuurdepääsu haavatavate komponentide portidele (vaikimisi pordid 8265 ja 10001) ja mõningaid Pythoni põhiteadmisi, ütleb ta.
"Haavatavaid komponente on väga lihtne leida, kui Ray Dashboardi kasutajaliides on avatud. See on värav kolme nõuandes sisalduva haavatavuse ärakasutamiseks, ”lisab ta. Garcia sõnul, kui Ray Dashboardi ei tuvastata, on haavatavate portide tuvastamiseks vaja teenindusportide täpsemat sõrmejälge. "Kui haavatavad komponendid on tuvastatud, on neid väga lihtne kasutada, järgides nõuandes toodud samme, " ütleb Garcia.
Bishop Foxi nõuanne näitab, kuidas ründaja saab turvaauke ära kasutada, et saada privaatvõti ja kõrge privilegeeritud mandaadid AWS-i pilvekontolt, kuhu Ray on installitud. Kuid vead puudutavad kõiki organisatsioone, kes kasutavad tarkvara Internetti või kohalikku võrku.
Kontrollitud võrgukeskkond
Kuigi Anycase ei vastanud Dark Readingile, ettevõtte dokumentatsioon väidab, et organisatsioonid peavad juurutama kiirklastreid kontrollitud võrgukeskkonnas. "Ray loodab töötada turvalises võrgukeskkonnas ja tegutseda usaldusväärse koodi alusel," öeldakse dokumentatsioonis. Selles mainitakse organisatsioonide vajadust tagada, et Ray komponentide vaheline võrguliiklus toimuks isoleeritud keskkonnas ning et lisateenustele juurdepääsul oleksid ranged võrgukontrollid ja autentimismehhanismid.
"Ray täidab ustavalt talle edastatud koodi – Ray ei tee vahet häälestuskatsel, juurkomplekti installimisel ega S3 ämbrikontrollil," märkis ettevõte. "Ray arendajad vastutavad oma rakenduste loomise eest seda arusaama silmas pidades."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads
- :on
- :on
- :mitte
- : kus
- 7
- 8
- a
- kiirendama
- juurdepääs
- Ligipääs
- Vastavalt
- konto
- tegu
- Täiendavad lisad
- adresseeritud
- Lisab
- ADEelis
- nõuandev
- mõjutada
- mõjutatud
- AI
- AI / ML
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- Ka
- Amazon
- vahel
- an
- ja
- mistahes
- API
- rakendused
- apps
- OLEME
- kunstlik
- tehisintellekti
- Tehisintellekt ja masinõpe
- AS
- At
- Reageerib
- AUGUST
- Autentimine
- AWS
- põhiline
- BE
- sest
- vahel
- Ehitus
- kuid
- by
- CAN
- nõuete
- klient
- Cloud
- pilvteenustest
- Cluster
- kood
- kommentaar
- ettevõte
- keeruline
- komponent
- komponendid
- konsultant
- kontrollitud
- kontrolli
- võiks
- volikiri
- kriitiline
- Praegu
- cve
- tume
- Tume lugemine
- armatuurlaud
- andmed
- vaikimisi
- juurutada
- detailid
- tuvastatud
- Arendajad
- DID
- eristada
- do
- dokumentatsioon
- Ei tee
- e
- lihtne
- võimaldama
- võimaldab
- tagama
- keskkond
- viga
- eskaleeruma
- eskalatsioon
- Isegi
- täitma
- Täidab
- täitmine
- ootab
- eksperiment
- Ekspluateeri
- avatud
- kaugele
- Faile
- leidma
- sõrmejälg
- vigu
- Järel
- eest
- võltsimine
- avastatud
- rebane
- Raamistik
- Alates
- täielikult
- funktsioon
- kasu
- värav
- Andma
- juhtub
- Olema
- raske
- Suur
- kõrgelt
- Kuidas
- HTML
- HTTPS
- i
- tuvastatud
- identifitseerima
- if
- kohe
- in
- lisatud
- Kaasa arvatud
- sisend
- ebakindel
- instacart
- paigaldama
- paigaldatud
- integreeritud
- Intelligentsus
- ette nähtud
- Internet
- sisse
- isoleeritud
- IT
- ITS
- jpg
- Võti
- teadmised
- suur
- õppimine
- Tase
- kohalik
- masin
- masinõpe
- juhitud
- palju
- mehhanismid
- mainib
- meeles
- puuduvad
- ML
- rohkem
- Vajadus
- Netflix
- võrk
- võrguliiklus
- Uus
- nst
- sõlmed
- märkida
- saama
- of
- on
- kunagi
- ainult
- avatud
- avatud lähtekoodiga
- OpenAI
- tegutsevad
- operatsioonisüsteemi
- or
- organisatsioonid
- Muu
- väljaspool
- Vastu võetud
- Platon
- Platoni andmete intelligentsus
- PlatoData
- sadamad
- positsioon
- paigutatud
- võimalik
- potentsiaalselt
- esitada
- varem
- era-
- Private Key
- privileeg
- privilegeeritud
- privileegid
- kaitsma
- Python
- RAY
- Lugemine
- kauge
- Remote Access
- aru
- Teatatud
- taotleda
- nõudma
- nõutav
- Vajab
- Teadlased
- Reageerida
- vastutav
- jooks
- s
- ohutu
- Ütlesin
- sama
- ütleb
- skaalautuvia
- ketendamine
- skripte
- turvalisus
- Müüb
- vanem
- teenus
- Teenused
- ta
- Näitused
- oskused
- So
- nii kaugel
- tarkvara
- mõned
- allikas
- konkreetse
- Spotify
- väljendatud
- Ühendriigid
- Sammud
- ladustatud
- Range
- süsteem
- Võtma
- Tehniline
- tehnilised oskused
- Tehnoloogia
- et
- .
- oma
- Neile
- nad
- asjad
- see
- sel nädalal
- oht
- kolm
- seotud
- et
- liiklus
- trio
- Usaldatud
- häälestamine
- kaks
- Uber
- ui
- mõistmine
- peale
- kasutama
- kasutamine
- kinnitamine
- müüja
- versioon
- versioonid
- väga
- kaudu
- Haavatavused
- haavatavus
- Haavatav
- Tee..
- nädal
- millal
- mis
- koos
- oleks
- veel
- sephyrnet