به گفته محققان این هفته، سازمانهایی که از Ray، چارچوب منبع باز برای مقیاسگذاری حجمهای کاری هوش مصنوعی و یادگیری ماشین استفاده میکنند، از طریق سه آسیبپذیری هنوز اصلاح نشده در این فناوری در معرض حملات قرار میگیرند.
آسیب بالقوه سنگین
این آسیبپذیریها راهی را به مهاجمان میدهد تا، از جمله چیزهای دیگر، دسترسی سیستمعامل به تمام گرههای یک خوشه Ray، فعال کردن اجرای کد از راه دور و افزایش امتیازات را داشته باشند. این نقص ها تهدیدی برای سازمان هایی است که نمونه های Ray خود را در معرض اینترنت یا حتی یک شبکه محلی قرار می دهند.
محققان اسقف فاکس آسیب پذیری ها را کشف کرد و آنها را در ماه اوت به Anyscale - که نسخه کاملاً مدیریت شده این فناوری را می فروشد - گزارش داد. محققان از فروشنده امنیتی Protect AI نیز قبلاً دو مورد از آسیبپذیریهای مشابه را به Anyscale گزارش کرده بودند.
برنیس فلورس گارسیا، مشاور ارشد امنیتی در اسقف فاکس، میگوید: اما تاکنون Anyscale به این نقصها رسیدگی نکرده است. گارسیا میگوید: «موضع آنها این است که آسیبپذیریها نامربوط هستند، زیرا Ray برای استفاده خارج از یک محیط شبکه کاملاً کنترلشده در نظر گرفته نشده است و ادعا میکند که این را در مستندات خود ذکر کرده است».
Anyscale بلافاصله به درخواست Dark Reading برای اظهار نظر پاسخ نداد.
Ray یک فناوری است که سازمان ها می توانند از آن استفاده کنند اجرای هوش مصنوعی پیچیده و فشرده زیرساخت را توزیع کنید و بارهای کاری یادگیری ماشینی. بسیاری از سازمانهای بزرگ (از جمله OpenAI، Spotify، Uber، Netflix، و Instacart) در حال حاضر از این فناوری برای ساختن برنامههای کاربردی جدید هوش مصنوعی و یادگیری ماشینی مقیاسپذیر استفاده میکنند. آمازون AWS Ray را یکپارچه کرده است در بسیاری از سرویس های ابری خود قرار داده و آن را به عنوان فناوری ای قرار داده است که سازمان ها می توانند از آن برای تسریع مقیاس پذیری برنامه های هوش مصنوعی و ML استفاده کنند.
یافتن و بهره برداری آسان
آسیبپذیریهایی که Bishop Fox به Anyscale گزارش کرده است مربوط به احراز هویت نامناسب و اعتبارسنجی ورودی در Ray Dashboard، Ray Client و احتمالاً سایر مؤلفهها است. این آسیبپذیریها بر نسخههای Ray 2.6.3 و 2.8.0 تأثیر میگذارند و به مهاجمان این امکان را میدهند تا هر گونه داده، اسکریپت یا فایل ذخیره شده در یک کلاستر را به دست آورند. اسقف فاکس در گزارش خود گفت: "اگر چارچوب Ray در فضای ابری (به عنوان مثال AWS) نصب شده باشد، امکان بازیابی اعتبارنامه های IAM بسیار ممتاز که امکان افزایش امتیاز را فراهم می کند، وجود دارد.
سه آسیب پذیری که اسقف فاکس به Anyscale گزارش کرد عبارتند از CVE-2023-48023 ، یک آسیبپذیری اجرای کد از راه دور (RCE) که به احراز هویت از دست رفته برای یک تابع حیاتی مرتبط است. CVE-2023-48022یک آسیبپذیری جعل درخواست سمت سرور در Ray Dashboard API که RCE را فعال میکند. و CVE-2023-6021 ، یک خطای اعتبار سنجی ورودی ناامن که همچنین به مهاجم راه دور امکان می دهد کد مخرب را روی یک سیستم آسیب دیده اجرا کند.
گزارش اسقف فاکس در مورد سه آسیبپذیری شامل جزئیاتی در مورد اینکه چگونه یک مهاجم میتواند به طور بالقوه از نقصها برای اجرای کد دلخواه سوء استفاده کند.
گارسیا میگوید از این آسیبپذیریها به راحتی میتوان بهرهبرداری کرد و مهاجمان برای استفاده از آنها به مهارتهای فنی بالایی نیاز ندارند. او میگوید: «یک مهاجم فقط به دسترسی از راه دور به پورتهای مؤلفه آسیبپذیر - پورتهای 8265 و 10001 بهطور پیشفرض - از اینترنت یا از یک شبکه محلی نیاز دارد» و دانش اولیه پایتون.
اگر UI داشبورد Ray در معرض دید قرار گیرد، اجزای آسیبپذیر بسیار آسان است. این دروازه ای است برای بهره برداری از سه آسیب پذیری موجود در مشاوره،” او می افزاید. به گفته گارسیا، اگر داشبورد Ray شناسایی نشود، برای شناسایی پورتهای آسیبپذیر، اثر انگشت مشخصتری از پورتهای سرویس مورد نیاز است. گارسیا میگوید: «هنگامی که اجزای آسیبپذیر شناسایی میشوند، بهرهبرداری از آنها با پیروی از مراحل مشاوره بسیار آسان است.
مشاوره Bishop Fox نشان می دهد که چگونه یک مهاجم می تواند از آسیب پذیری ها برای به دست آوردن یک کلید خصوصی و اعتبارنامه های بسیار ممتاز از یک حساب ابری AWS که Ray در آن نصب شده است سوء استفاده کند. اما این ایرادات همه سازمان هایی را که نرم افزار را در معرض اینترنت یا شبکه محلی قرار می دهند، تحت تاثیر قرار می دهد.
محیط شبکه کنترل شده
اگرچه Anycase به Dark Reading پاسخ نداد مستندات شرکت نیاز سازمان ها به استقرار خوشه های Ray در یک محیط شبکه کنترل شده را بیان می کند. در مستندات آمده است: «ری انتظار دارد در یک محیط شبکه ایمن اجرا شود و بر اساس کد قابل اعتماد عمل کند. این نیاز به سازمانها برای اطمینان از اینکه ترافیک شبکه بین اجزای Ray در یک محیط ایزوله اتفاق میافتد و داشتن کنترلهای سخت شبکه و مکانیسمهای احراز هویت هنگام دسترسی به خدمات اضافی اشاره میکند.
این شرکت خاطرنشان کرد: Ray به طور صادقانه کدهایی را که به آن ارسال می شود اجرا می کند - Ray بین آزمایش تنظیم، نصب rootkit یا بازرسی سطل S3 تفاوتی قائل نمی شود. توسعه دهندگان Ray مسئول ساخت برنامه های خود با این درک هستند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads
- : دارد
- :است
- :نه
- :جایی که
- 7
- 8
- a
- شتاب دادن
- دسترسی
- دسترسی
- مطابق
- حساب
- عمل
- اضافی
- خطاب
- می افزاید:
- مزیت - فایده - سود - منفعت
- مشاوره
- اثر
- تحت تاثیر قرار
- AI
- AI / ML
- معرفی
- اجازه دادن
- همچنین
- آمازون
- در میان
- an
- و
- هر
- API
- برنامه های کاربردی
- برنامه های
- هستند
- مصنوعی
- هوش مصنوعی
- هوش مصنوعی و یادگیری ماشین
- AS
- At
- حمله
- اوت
- تصدیق
- AWS
- اساسی
- BE
- زیرا
- میان
- بنا
- اما
- by
- CAN
- ادعای
- مشتری
- ابر
- خدمات ابر
- خوشه
- رمز
- توضیح
- شرکت
- پیچیده
- جزء
- اجزاء
- مشاور
- کنترل
- گروه شاهد
- میتوانست
- مجوزها و اعتبارات
- بحرانی
- در حال حاضر
- cve
- تاریک
- تاریک خواندن
- داشبورد
- داده ها
- به طور پیش فرض
- گسترش
- جزئیات
- شناسایی شده
- توسعه دهندگان
- DID
- تمایز
- do
- مستندات
- نمی کند
- e
- ساده
- قادر ساختن
- را قادر می سازد
- اطمینان حاصل شود
- محیط
- خطا
- تشدید
- تشدید
- حتی
- اجرا کردن
- اجرا می کند
- اعدام
- انتظار می رود
- تجربه
- بهره برداری
- قرار گرفتن در معرض
- بسیار
- فایل ها
- پیدا کردن
- اثر انگشت
- معایب
- پیروی
- برای
- جعل اسناد
- یافت
- روباه
- چارچوب
- از جانب
- کاملا
- تابع
- افزایش
- دروازه
- دادن
- اتفاق می افتد
- آیا
- سنگین
- زیاد
- خیلی
- چگونه
- HTML
- HTTPS
- i
- شناسایی
- شناسایی
- if
- بلافاصله
- in
- مشمول
- از جمله
- ورودی
- ناامن
- instacart
- نصب
- نصب شده
- یکپارچه
- اطلاعات
- مورد نظر
- اینترنت
- به
- جدا شده
- IT
- ITS
- JPG
- کلید
- دانش
- بزرگ
- یادگیری
- سطح
- محلی
- دستگاه
- فراگیری ماشین
- اداره می شود
- بسیاری
- مکانیسم
- اشاره می کند
- ذهن
- گم
- ML
- بیش
- نیاز
- نت فلیکس
- شبکه
- ترافیک شبکه
- جدید
- نیست
- گره
- اشاره کرد
- گرفتن
- of
- on
- یک بار
- فقط
- باز کن
- منبع باز
- OpenAI
- عملیاتی
- سیستم عامل
- or
- سازمان های
- دیگر
- خارج از
- گذشت
- افلاطون
- هوش داده افلاطون
- PlatoData
- بنادر
- موقعیت
- موقعیت یابی شده
- ممکن
- بالقوه
- در حال حاضر
- قبلا
- خصوصی
- کلید خصوصی
- امتیاز
- ممتاز
- امتیازات
- محافظت از
- پــایتــون
- اشعه
- مطالعه
- دور
- دسترسی از راه دور
- گزارش
- گزارش
- درخواست
- نیاز
- ضروری
- نیاز
- محققان
- پاسخ
- مسئوليت
- دویدن
- s
- امن
- سعید
- همان
- می گوید:
- مقیاس پذیر
- مقیاس گذاری
- اسکریپت
- تیم امنیت لاتاری
- فروش
- ارشد
- سرویس
- خدمات
- او
- نشان می دهد
- مهارت ها
- So
- تا حالا
- نرم افزار
- برخی از
- منبع
- خاص
- Spotify
- اظهار داشت:
- ایالات
- مراحل
- ذخیره شده
- سخت
- سیستم
- گرفتن
- فنی
- مهارتهای فنی
- پیشرفته
- که
- La
- شان
- آنها
- آنها
- اشیاء
- این
- این هفته
- تهدید
- سه
- گره خورده است
- به
- ترافیک
- سه تایی
- مورد اعتماد
- میزان سازی
- دو
- حال بارگذاری
- ui
- درک
- بر
- استفاده کنید
- با استفاده از
- اعتبار سنجی
- فروشنده
- نسخه
- نسخه
- بسیار
- از طريق
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- مسیر..
- هفته
- چه زمانی
- که
- با
- خواهد بود
- هنوز
- زفیرنت