Organisaatiot, jotka käyttävät Raytaa, avoimen lähdekoodin viitekehystä tekoälyn ja koneoppimisen työkuormien skaalaamiseen, ovat alttiina hyökkäyksille teknologian vielä korjaamattomien haavoittuvuuksien kautta, tutkijat sanoivat tällä viikolla.
Mahdollisesti raskaat vauriot
Haavoittuvuudet antavat hyökkääjille tavan muun muassa saada käyttöjärjestelmä pääsy kaikkiin Ray-klusterin solmuihin, mahdollistaa koodin etäsuoritus ja eskaloida käyttöoikeuksia. Virheet ovat uhka organisaatioille, jotka altistavat Ray-esiintymänsä Internetiin tai jopa paikalliseen verkkoon.
Bishop Foxin tutkijat löysi haavoittuvuudet ja ilmoitti niistä elokuussa Anyscalelle, joka myy tekniikan täysin hallittua versiota. Tietoturvatoimittaja Protect AI:n tutkijat ilmoittivat myös yksityisesti kahdesta samasta haavoittuvuudesta Anyscalelle aiemmin.
Mutta toistaiseksi Anyscale ei ole korjannut puutteita, sanoo Berenice Flores Garcia, Bishop Foxin vanhempi turvallisuuskonsultti. "Heidän kantansa on, että haavoittuvuuksilla ei ole merkitystä, koska Ray ei ole tarkoitettu käytettäväksi tiukasti valvotun verkkoympäristön ulkopuolella ja väittää, että tämä on mainittu heidän dokumentaatiossaan", Garcia sanoo.
Anyscale ei vastannut välittömästi Dark Readingin kommenttipyyntöön.
Ray on teknologia, jota organisaatiot voivat käyttää jakaa monimutkaisen, infrastruktuuriintensiivisen tekoälyn suorittamisen ja koneoppimisen työmäärät. Monet suuret organisaatiot (mukaan lukien OpenAI, Spotify, Uber, Netflix ja Instacart) käyttävät tällä hetkellä tekniikkaa uusien skaalautuvien tekoäly- ja koneoppimissovellusten rakentamiseen. Amazonin AWS:ssä on integroitu Ray moniin pilvipalveluihin ja on asettanut sen teknologiaksi, jonka avulla organisaatiot voivat nopeuttaa tekoäly- ja ML-sovellusten skaalausta.
Helppo löytää ja hyödyntää
Haavoittuvuudet, jotka Bishop Fox ilmoitti Anyscalelle, liittyvät virheelliseen todennukseen ja syötteiden validointiin Ray Dashboardissa, Ray Clientissä ja mahdollisesti muissa osissa. Haavoittuvuudet vaikuttavat Ray-versioihin 2.6.3 ja 2.8.0 ja antavat hyökkääjille tavan saada Ray-klusteriin tallennettuja tietoja, komentosarjoja tai tiedostoja. "Jos Ray-kehys on asennettu pilveen (eli AWS), on mahdollista hakea erittäin etuoikeutettuja IAM-valtuuksia, jotka mahdollistavat oikeuksien eskaloinnin", piispa Fox sanoi raportissaan.
Kolme haavoittuvuutta, jotka Bishop Fox ilmoitti Anyscalelle, ovat CVE-2023-48023, koodin etäsuorittamisen (RCE) haavoittuvuus, joka on sidottu kriittisen toiminnon todennuksen puuttumiseen; CVE-2023-48022, palvelinpuolen pyyntöväärennöshaavoittuvuus Ray Dashboard API:ssa, joka mahdollistaa RCE:n; ja CVE-2023-6021, suojaamattoman syötteen vahvistusvirhe, joka mahdollistaa myös etähyökkääjän suorittaa haitallista koodia kyseisessä järjestelmässä.
Bishop Foxin raportti kolmesta haavoittuvuudesta sisälsi yksityiskohtia siitä, kuinka hyökkääjä voisi mahdollisesti hyödyntää puutteita mielivaltaisen koodin suorittamiseksi.
Haavoittuvuuksia on helppo hyödyntää, eivätkä hyökkääjät vaadi korkeaa teknistä osaamista hyödyntääkseen niitä, Garcia sanoo. "Hyökkääjä tarvitsee vain etäyhteyden haavoittuvien komponenttien portteihin - oletuksena portit 8265 ja 10001 - Internetistä tai paikallisesta verkosta", hän sanoo.
"Haavoittuvat komponentit on erittäin helppo löytää, jos Ray Dashboardin käyttöliittymä paljastetaan. Tämä on portti, jonka avulla voidaan hyödyntää kolmea neuvoa-antavaa haavoittuvuutta", hän lisää. Garcian mukaan, jos Ray Dashboardia ei havaita, palveluporttien tarkempi sormenjälki vaadittaisiin haavoittuvien porttien tunnistamiseksi. "Kun haavoittuvat komponentit on tunnistettu, niitä on erittäin helppo hyödyntää neuvonnan ohjeiden mukaisesti", Garcia sanoo.
Bishop Foxin neuvot osoittavat, kuinka hyökkääjä voi hyödyntää haavoittuvuuksia saadakseen yksityisen avaimen ja erittäin etuoikeutetut tunnistetiedot AWS-pilvitililtä, jolle Ray on asennettu. Mutta puutteet vaikuttavat kaikkiin organisaatioihin, jotka altistavat ohjelmiston Internetiin tai paikalliseen verkkoon.
Ohjattu verkkoympäristö
Vaikka Anycase ei vastannut Dark Readingille, yrityksen dokumentaatio toteaa, että organisaatioiden on otettava käyttöön sädeklustereita valvotussa verkkoympäristössä. "Ray odottaa toimivansa turvallisessa verkkoympäristössä ja toimivan luotettavan koodin mukaan", dokumentaatiossa todetaan. Siinä mainitaan organisaatioiden tarve varmistaa, että verkkoliikenne Ray-komponenttien välillä tapahtuu eristetyssä ympäristössä, ja tiukat verkkovalvonta- ja todennusmekanismit lisäpalveluita käytettäessä.
"Ray suorittaa uskollisesti sille välitetyn koodin - Ray ei tee eroa virityskokeilun, rootkit-asennuksen tai S3-sämpäritarkastuksen välillä", yritys huomautti. "Ray-kehittäjät ovat vastuussa sovellusten rakentamisesta tätä ymmärrystä ajatellen."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads
- :on
- :On
- :ei
- :missä
- 7
- 8
- a
- kiihdyttää
- pääsy
- Pääsy
- Mukaan
- Tili
- Toimia
- lisä-
- osoitettu
- Lisää
- Etu
- neuvontapalvelut
- vaikuttaa
- vaikuttaa
- AI
- AI / ML
- Kaikki
- sallia
- Myös
- Amazon
- keskuudessa
- an
- ja
- Kaikki
- api
- sovellukset
- sovellukset
- OVAT
- keinotekoinen
- tekoäly
- Keinotekoinen älykkyys ja koneoppiminen
- AS
- At
- Hyökkäykset
- Elokuu
- Authentication
- AWS
- perustiedot
- BE
- koska
- välillä
- Rakentaminen
- mutta
- by
- CAN
- vaatimukset
- asiakas
- pilvi
- pilvipalvelut
- Cluster
- koodi
- kommentti
- yritys
- monimutkainen
- komponentti
- osat
- konsultti
- hallinnassa
- valvonta
- voisi
- Valtakirja
- kriittinen
- Tällä hetkellä
- cve
- tumma
- Pimeää luettavaa
- kojelauta
- tiedot
- oletusarvo
- sijoittaa
- yksityiskohdat
- havaittu
- kehittäjille
- DID
- eriyttää
- do
- dokumentointi
- ei
- e
- helppo
- mahdollistaa
- mahdollistaa
- varmistaa
- ympäristö
- virhe
- kärjistyä
- laajenemisen
- Jopa
- suorittaa
- toteuttaja
- teloitus
- odottaa
- kokeilu
- Käyttää hyväkseen
- avoin
- paljon
- Asiakirjat
- Löytää
- sormenjälki
- puutteita
- jälkeen
- varten
- väärentäminen
- löytyi
- kettu
- Puitteet
- alkaen
- täysin
- toiminto
- Saada
- portti
- Antaa
- tapahtuu
- Olla
- raskas
- Korkea
- erittäin
- Miten
- HTML
- HTTPS
- i
- tunnistettu
- tunnistaa
- if
- heti
- in
- mukana
- Mukaan lukien
- panos
- turvaton
- asentaa
- asennetaan
- integroitu
- Älykkyys
- tarkoitettu
- Internet
- tulee
- yksittäinen
- IT
- SEN
- jpg
- avain
- tuntemus
- suuri
- oppiminen
- Taso
- paikallinen
- kone
- koneoppiminen
- onnistui
- monet
- mekanismit
- mainitsee
- mielessä
- puuttuva
- ML
- lisää
- Tarve
- Netflix
- verkko
- verkkoliikenne
- Uusi
- NIST
- solmut
- huomattava
- saada
- of
- on
- kerran
- vain
- avata
- avoimen lähdekoodin
- OpenAI
- toiminta
- käyttöjärjestelmän
- or
- organisaatioiden
- Muut
- ulkopuolella
- Hyväksytty
- Platon
- Platonin tietotieto
- PlatonData
- portit
- sijainti
- asemoitu
- mahdollinen
- mahdollisesti
- esittää
- aiemmin
- yksityinen
- yksityinen avain
- etuoikeus
- etuoikeutettu
- oikeudet
- suojella
- Python
- RAY
- Lukeminen
- kaukosäädin
- etäkäyttö
- raportti
- raportoitu
- pyyntö
- edellyttää
- tarvitaan
- Vaatii
- Tutkijat
- Vastata
- vastuullinen
- ajaa
- s
- turvallista
- Said
- sama
- sanoo
- skaalautuva
- skaalaus
- skriptejä
- turvallisuus
- Sells
- vanhempi
- palvelu
- Palvelut
- hän
- Näytä
- taitoja
- So
- niin kaukana
- Tuotteemme
- jonkin verran
- lähde
- erityinen
- Spotify
- totesi
- Valtiot
- Askeleet
- tallennettu
- Tiukka
- järjestelmä
- ottaa
- Tekninen
- teknisiä taitoja
- Elektroniikka
- että
- -
- heidän
- Niitä
- ne
- asiat
- tätä
- tällä viikolla
- uhkaus
- kolmella
- tied
- että
- liikenne
- trio
- luotettu
- viritys
- kaksi
- Uber
- ui
- ymmärtäminen
- päälle
- käyttää
- käyttämällä
- validointi
- myyjä
- versio
- versiot
- hyvin
- kautta
- haavoittuvuuksia
- alttius
- Haavoittuva
- Tapa..
- viikko
- kun
- joka
- with
- olisi
- vielä
- zephyrnet