A kutatók a héten elmondták, hogy a Ray-t, a mesterséges intelligencia és a gépi tanulási munkaterhelések skálázására szolgáló nyílt forráskódú keretrendszert használó szervezetek a technológia három, még kijavítatlan sérülékenysége révén vannak kitéve támadásoknak.
Potenciálisan súlyos sérülés
A biztonsági rések lehetőséget adnak a támadóknak többek között arra, hogy hozzáférést kapjanak az operációs rendszerhez a Ray-fürt összes csomópontjához, lehetővé tegyék a távoli kódfuttatást, és kiterjesszék a jogosultságokat. A hibák fenyegetést jelentenek azokra a szervezetekre, amelyek Ray-példányaikat az internetre vagy akár egy helyi hálózatra teszik ki.
Fox püspök kutatói felfedezte a sebezhetőségeket és augusztusban jelentette őket az Anyscale-nek – amely a technológia teljes körűen felügyelt verzióját árulja. A Protect AI biztonsági gyártó kutatói korábban két azonos biztonsági résről is beszámoltak az Anyscale-nek.
De ez idáig az Anyscale nem orvosolta a hibákat – mondja Berenice Flores Garcia, a Bishop Fox vezető biztonsági tanácsadója. „Az az álláspontjuk, hogy a sérülékenységek irrelevánsak, mivel a Ray-t nem szánják szigorúan ellenőrzött hálózati környezeten kívüli használatra, és azt állítják, hogy ez szerepel a dokumentációjukban” – mondja Garcia.
Az Anyscale nem válaszolt azonnal a Dark Reading megjegyzéskérésére.
A Ray egy olyan technológia, amelyet a szervezetek használhatnak komplex, infrastruktúra-intenzív AI végrehajtásának elosztása és a gépi tanulási terhelések. Jelenleg számos nagy szervezet (köztük az OpenAI, a Spotify, az Uber, a Netflix és az Instacart) használja a technológiát új, méretezhető mesterséges intelligencia és gépi tanulási alkalmazások készítésére. Amazoné Az AWS integrált Ray-t tartalmaz számos felhőszolgáltatásába beépült, és olyan technológiaként pozicionálta, amellyel a szervezetek felgyorsíthatják az AI- és ML-alkalmazások méretezését.
Könnyen megtalálható és kihasználható
A Bishop Fox által az Anyscale-nek jelentett sebezhetőségek a Ray Dashboard, a Ray Client és potenciálisan más összetevők helytelen hitelesítésére és bemeneti ellenőrzésére vonatkoznak. A biztonsági rések a Ray 2.6.3-as és 2.8.0-s verzióit érintik, és lehetővé teszik a támadók számára, hogy megszerezzék a Ray-fürtben tárolt adatokat, parancsfájlokat vagy fájlokat. "Ha a Ray keretrendszert a felhőbe (azaz AWS-be) telepítik, akkor lehetőség nyílik a kiemelt IAM hitelesítő adatok lekérésére, amelyek lehetővé teszik a jogosultságok kiszélesítését" - mondta Bishop Fox a jelentésében.
A három sebezhetőség, amelyet Bishop Fox jelentett az Anyscale-nek CVE-2023-48023, távoli kódvégrehajtási (RCE) sérülékenység, amely egy kritikus funkcióhoz tartozó hitelesítés hiányához kapcsolódik; CVE-2023 48022-, a Ray Dashboard API szerveroldali kéréshamisítási biztonsági rése, amely lehetővé teszi az RCE-t; és CVE-2023-6021, egy nem biztonságos beviteli ellenőrzési hiba, amely lehetővé teszi a távoli támadó számára, hogy rosszindulatú kódot hajtson végre az érintett rendszeren.
Bishop Fox jelentése a három sebezhetőségről részletesen ismertette, hogyan használhatja ki a támadó a hibákat tetszőleges kód futtatására.
A sebezhetőségeket könnyű kihasználni, és a támadóknak nincs szükségük magas szintű technikai ismeretekre ahhoz, hogy kihasználják őket, mondja Garcia. „A támadónak csak távoli hozzáférésre van szüksége a sebezhető összetevők portjaihoz – alapértelmezés szerint a 8265-ös és 10001-es portokhoz – az internetről vagy a helyi hálózatról” – mondja a nő.
„A sebezhető összetevőket nagyon könnyű megtalálni, ha a Ray Dashboard kezelőfelülete hozzáférhető. Ez a kapu a tanácsban szereplő három sebezhetőség kihasználásához” – teszi hozzá. Garcia szerint, ha a Ray Dashboard nem észlelhető, a szervizportok pontosabb ujjlenyomatára lenne szükség a sérülékeny portok azonosításához. „Miután azonosították a sebezhető összetevőket, nagyon könnyen kiaknázhatók a tanácsadó lépései szerint” – mondja Garcia.
Bishop Fox tanácsa bemutatja, hogyan használhatja ki a támadó a biztonsági réseket, hogy privát kulcsot és kiemelt jogosultságokkal rendelkező hitelesítő adatokat szerezzen egy olyan AWS felhőfiókból, amelyre a Ray telepítve van. A hibák azonban minden olyan szervezetet érintenek, amelyek a szoftvert az internetre vagy a helyi hálózatra teszik ki.
Ellenőrzött hálózati környezet
Bár Anycase nem válaszolt a Dark Readingnek, a a cég dokumentációja kimondja, hogy a szervezeteknek Ray-fürtöket kell telepíteni egy ellenőrzött hálózati környezetben. „A Ray azt várja, hogy biztonságos hálózati környezetben fusson, és megbízható kód alapján cselekedjen” – áll a dokumentációban. Megemlíti, hogy a szervezeteknek biztosítaniuk kell, hogy a Ray-összetevők közötti hálózati forgalom elszigetelt környezetben történjen, és szigorú hálózati ellenőrzésekkel és hitelesítési mechanizmusokkal kell rendelkezniük a további szolgáltatások elérésekor.
„A Ray hűen hajtja végre a neki továbbított kódot – a Ray nem tesz különbséget a hangolási kísérlet, a rootkit telepítés vagy az S3 gyűjtőkör ellenőrzése között” – jegyezte meg a vállalat. „A sugárfejlesztők felelősek azért, hogy alkalmazásaikat ennek a megértésnek a szem előtt tartásával építsék ki.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads
- :van
- :is
- :nem
- :ahol
- 7
- 8
- a
- gyorsul
- hozzáférés
- Hozzáférés
- Szerint
- Fiók
- törvény
- További
- címzett
- Hozzáteszi
- Előny
- tanácsadó
- érint
- érintett
- AI
- AI / ML
- Minden termék
- lehetővé
- Is
- amazon
- között
- an
- és a
- bármilyen
- api
- alkalmazások
- alkalmazások
- VANNAK
- mesterséges
- mesterséges intelligencia
- Mesterséges intelligencia és gépi tanulás
- AS
- At
- Támadások
- Augusztus
- Hitelesítés
- AWS
- alapvető
- BE
- mert
- között
- Épület
- de
- by
- TUD
- követelések
- vásárló
- felhő
- felhő szolgáltatások
- Fürt
- kód
- megjegyzés
- vállalat
- bonyolult
- összetevő
- alkatrészek
- szaktanácsadó
- vezérelt
- ellenőrzések
- tudott
- Hitelesítő adatok
- kritikai
- Jelenleg
- cve
- sötét
- Sötét olvasmány
- műszerfal
- dátum
- alapértelmezett
- telepíteni
- részletek
- észlelt
- fejlesztők
- DID
- különbséget
- do
- dokumentáció
- Nem
- e
- könnyű
- lehetővé
- lehetővé teszi
- biztosítására
- Környezet
- hiba
- eszkalálódnak
- eszkaláció
- Még
- kivégez
- végrehajtja
- végrehajtás
- elvárja
- kísérlet
- Exploit
- kitett
- messze
- Fájlok
- Találjon
- ujjlenyomat
- hibái
- következő
- A
- hamisítvány
- talált
- róka
- Keretrendszer
- ból ből
- teljesen
- funkció
- Nyereség
- kapu
- Ad
- megtörténik
- Legyen
- nehéz
- Magas
- nagyon
- Hogyan
- HTML
- HTTPS
- i
- azonosított
- azonosítani
- if
- azonnal
- in
- beleértve
- Beleértve
- bemenet
- bizonytalan
- instacart
- telepíteni
- telepítve
- integrált
- Intelligencia
- szándékolt
- Internet
- bele
- izolált
- IT
- ITS
- jpg
- Kulcs
- tudás
- nagy
- tanulás
- szint
- helyi
- gép
- gépi tanulás
- sikerült
- sok
- mechanizmusok
- megemlíti
- bánja
- hiányzó
- ML
- több
- Szükség
- Netflix
- hálózat
- hálózati forgalom
- Új
- nst
- csomópontok
- neves
- szerez
- of
- on
- egyszer
- csak
- nyitva
- nyílt forráskódú
- OpenAI
- üzemeltetési
- operációs rendszer
- or
- szervezetek
- Más
- kívül
- Elmúlt
- Plató
- Platón adatintelligencia
- PlatoData
- portok
- pozíció
- pozicionált
- lehetséges
- potenciálisan
- be
- korábban
- magán
- magánkulcs
- kiváltság
- kiváltságos
- kiváltságok
- védelme
- Piton
- RAY
- Olvasás
- távoli
- távoli hozzáférés
- jelentést
- Számolt
- kérni
- szükség
- kötelező
- megköveteli,
- kutatók
- Reagálni
- felelős
- futás
- s
- biztonságos
- Mondott
- azonos
- azt mondja,
- skálázható
- skálázás
- szkriptek
- biztonság
- Sells
- idősebb
- szolgáltatás
- Szolgáltatások
- ő
- Műsorok
- készségek
- So
- eddig
- szoftver
- néhány
- forrás
- különleges
- Spotify
- meghatározott
- Államok
- Lépései
- memorizált
- Szigorú
- rendszer
- Vesz
- Műszaki
- technikai készségek
- Technológia
- hogy
- A
- azok
- Őket
- ők
- dolgok
- ezt
- ezen a héten
- fenyegetés
- három
- Bekötött
- nak nek
- forgalom
- Trió
- Megbízható
- hangolás
- kettő
- Uber
- ui
- megértés
- upon
- használ
- segítségével
- érvényesítés
- eladó
- változat
- verzió
- nagyon
- keresztül
- sérülékenységek
- sebezhetőség
- Sebezhető
- Út..
- hét
- amikor
- ami
- val vel
- lenne
- még
- zephyrnet