Organisasi yang menggunakan Ray, kerangka kerja sumber terbuka untuk meningkatkan kecerdasan buatan dan beban kerja pembelajaran mesin, terkena serangan melalui trio kerentanan yang belum ditambal dalam teknologi tersebut, kata para peneliti minggu ini.
Potensi Kerusakan Berat
Kerentanan ini memberi penyerang cara untuk, antara lain, mendapatkan akses sistem operasi ke semua node di cluster Ray, mengaktifkan eksekusi kode jarak jauh, dan meningkatkan hak istimewa. Kelemahan ini menghadirkan ancaman bagi organisasi yang mengekspos instance Ray mereka ke Internet atau bahkan jaringan lokal.
Peneliti dari Bishop Fox menemukan kerentanannya dan melaporkannya ke Anyscale โ yang menjual versi teknologi yang dikelola sepenuhnya โ pada bulan Agustus. Peneliti dari vendor keamanan Protect AI juga secara pribadi melaporkan dua kerentanan yang sama ke Anyscale sebelumnya.
Namun sejauh ini, Anyscale belum mengatasi kelemahan tersebut, kata Berenice Flores Garcia, konsultan keamanan senior di Bishop Fox. โPosisi mereka adalah bahwa kerentanan tidak relevan karena Ray tidak dimaksudkan untuk digunakan di luar lingkungan jaringan yang dikontrol secara ketat dan mengklaim hal ini dinyatakan dalam dokumentasi mereka,โ kata Garcia.
Anyscale tidak segera menanggapi permintaan komentar dari Dark Reading.
Ray adalah teknologi yang dapat digunakan oleh organisasi mendistribusikan pelaksanaan AI yang kompleks dan intensif infrastruktur dan beban kerja pembelajaran mesin. Banyak organisasi besar (termasuk OpenAI, Spotify, Uber, Netflix, dan Instacart) saat ini menggunakan teknologi ini untuk membangun aplikasi AI dan pembelajaran mesin baru yang skalabel. milik Amazon AWS telah mengintegrasikan Ray ke dalam banyak layanan cloud-nya dan memposisikannya sebagai teknologi yang dapat digunakan organisasi untuk mempercepat penskalaan aplikasi AI dan ML.
Mudah Ditemukan dan Dieksploitasi
Kerentanan yang dilaporkan Bishop Fox ke Anyscale berkaitan dengan autentikasi yang tidak tepat dan validasi input di Ray Dashboard, Ray Client, dan kemungkinan komponen lainnya. Kerentanan mempengaruhi Ray versi 2.6.3 dan 2.8.0 dan memungkinkan penyerang mendapatkan data, skrip, atau file apa pun yang disimpan dalam cluster Ray. โJika kerangka kerja Ray dipasang di cloud (yaitu, AWS), dimungkinkan untuk mengambil kredensial IAM dengan hak istimewa tinggi yang memungkinkan peningkatan hak istimewa,โ kata Bishop Fox dalam laporannya.
Tiga kerentanan yang dilaporkan Uskup Fox ke Anyscale adalah CVE-2023-48023, kerentanan eksekusi kode jarak jauh (RCE) terkait dengan hilangnya otentikasi untuk fungsi penting; CVE-2023-48022, kerentanan pemalsuan permintaan sisi server di Ray Dashboard API yang mengaktifkan RCE; Dan CVE-2023-6021, kesalahan validasi masukan tidak aman yang juga memungkinkan penyerang jarak jauh mengeksekusi kode berbahaya pada sistem yang terpengaruh.
Laporan Bishop Fox mengenai tiga kerentanan mencakup rincian tentang bagaimana penyerang berpotensi mengeksploitasi kelemahan tersebut untuk mengeksekusi kode arbitrer.
Kerentanan ini mudah dieksploitasi, dan penyerang tidak memerlukan keterampilan teknis tingkat tinggi untuk memanfaatkannya, kata Garcia. โPenyerang hanya memerlukan akses jarak jauh ke port komponen yang rentan โ port 8265 dan 10001 secara default โ dari Internet atau dari jaringan lokal,โ dan beberapa pengetahuan dasar Python, katanya.
โKomponen yang rentan sangat mudah ditemukan jika Ray Dashboard UI terekspos. Ini adalah pintu gerbang untuk mengeksploitasi tiga kerentanan yang termasuk dalam penasehatan ini,โ tambahnya. Menurut Garcia, jika Ray Dashboard tidak terdeteksi, sidik jari port layanan yang lebih spesifik akan diperlukan untuk mengidentifikasi port yang rentan. โSetelah komponen yang rentan teridentifikasi, komponen tersebut akan sangat mudah dieksploitasi dengan mengikuti langkah-langkah yang diberikan dalam panduan ini,โ kata Garcia.
Saran dari Bishop Fox menunjukkan bagaimana penyerang dapat mengeksploitasi kerentanan untuk mendapatkan kunci pribadi dan kredensial dengan hak istimewa tinggi dari akun cloud AWS tempat Ray diinstal. Namun kelemahan ini mempengaruhi semua organisasi yang mengekspos perangkat lunak tersebut ke Internet atau jaringan lokal.
Lingkungan Jaringan Terkendali
Meskipun Anycase tidak menanggapi Dark Reading, itu dokumentasi perusahaan menyatakan perlunya organisasi untuk menyebarkan cluster Ray dalam lingkungan jaringan yang terkendali. โRay berharap dapat berjalan di lingkungan jaringan yang aman dan bertindak berdasarkan kode yang tepercaya,โ demikian isi dokumentasinya. Ini menyebutkan perlunya organisasi untuk memastikan bahwa lalu lintas jaringan antara komponen Ray terjadi di lingkungan yang terisolasi dan memiliki kontrol jaringan yang ketat dan mekanisme otentikasi ketika mengakses layanan tambahan.
โRay dengan setia mengeksekusi kode yang diteruskan ke sana โ Ray tidak membedakan antara eksperimen penyetelan, pemasangan rootkit, atau inspeksi bucket S3,โ kata perusahaan itu. โPengembang Ray bertanggung jawab untuk membangun aplikasi mereka dengan mempertimbangkan pemahaman ini.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads
- :memiliki
- :adalah
- :bukan
- :Di mana
- 7
- 8
- a
- mempercepat
- mengakses
- mengakses
- Menurut
- Akun
- Bertindak
- Tambahan
- dialamatkan
- Menambahkan
- Keuntungan
- laporan
- mempengaruhi
- terpengaruh
- AI
- AI / ML
- Semua
- mengizinkan
- juga
- Amazon
- antara
- an
- dan
- Apa pun
- api
- aplikasi
- aplikasi
- ADALAH
- buatan
- kecerdasan buatan
- Kecerdasan Buatan dan Pembelajaran Mesin
- AS
- At
- Serangan
- Agustus
- Otentikasi
- AWS
- dasar
- BE
- karena
- antara
- Bangunan
- tapi
- by
- CAN
- klaim
- klien
- awan
- layanan cloud
- Kelompok
- kode
- komentar
- perusahaan
- kompleks
- komponen
- komponen
- konsultan
- dikendalikan
- kontrol
- bisa
- Surat kepercayaan
- kritis
- Sekarang
- cve
- gelap
- Bacaan gelap
- dasbor
- data
- Default
- menyebarkan
- rincian
- terdeteksi
- pengembang
- MELAKUKAN
- membedakan
- do
- dokumentasi
- Tidak
- e
- Mudah
- aktif
- memungkinkan
- memastikan
- Lingkungan Hidup
- kesalahan
- meningkatkan
- eskalasi
- Bahkan
- menjalankan
- Laksanakan
- eksekusi
- mengharapkan
- eksperimen
- Mengeksploitasi
- terkena
- jauh
- File
- Menemukan
- sidik jari
- kekurangan
- berikut
- Untuk
- pemalsuan
- ditemukan
- rubah
- Kerangka
- dari
- sepenuhnya
- fungsi
- Mendapatkan
- gerbang
- Memberikan
- Terjadi
- Memiliki
- berat
- High
- sangat
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTML
- HTTPS
- i
- diidentifikasi
- mengenali
- if
- segera
- in
- termasuk
- Termasuk
- memasukkan
- tidak aman
- instacart
- install
- diinstal
- terpadu
- Intelijen
- dimaksudkan
- Internet
- ke
- terpencil
- IT
- NYA
- jpg
- kunci
- pengetahuan
- besar
- pengetahuan
- Tingkat
- lokal
- mesin
- Mesin belajar
- berhasil
- banyak
- mekanisme
- sebutan
- keberatan
- hilang
- ML
- lebih
- Perlu
- Netflix
- jaringan
- lalu lintas jaringan
- New
- nisan
- node
- terkenal
- memperoleh
- of
- on
- sekali
- hanya
- Buka
- open source
- OpenAI
- operasi
- sistem operasi
- or
- organisasi
- Lainnya
- di luar
- Lulus
- plato
- Kecerdasan Data Plato
- Data Plato
- port
- posisi
- diposisikan
- mungkin
- berpotensi
- menyajikan
- sebelumnya
- swasta
- Key pribadi
- hak istimewa
- istimewa
- hak
- melindungi
- Ular sanca
- RAY
- Bacaan
- terpencil
- Remote Access
- melaporkan
- Dilaporkan
- permintaan
- membutuhkan
- wajib
- membutuhkan
- peneliti
- Menanggapi
- tanggung jawab
- Run
- s
- aman
- Tersebut
- sama
- mengatakan
- terukur
- skala
- script
- keamanan
- Menjual
- senior
- layanan
- Layanan
- dia
- Pertunjukkan
- keterampilan
- So
- sejauh ini
- Perangkat lunak
- beberapa
- sumber
- tertentu
- Spotify
- menyatakan
- Negara
- Tangga
- tersimpan
- Ketat
- sistem
- Mengambil
- Teknis
- keterampilan teknis
- Teknologi
- bahwa
- Grafik
- mereka
- Mereka
- mereka
- hal
- ini
- minggu ini
- ancaman
- tiga
- Terjalin
- untuk
- lalu lintas
- trio
- Terpercaya
- menyetel
- dua
- uber
- ui
- pemahaman
- atas
- menggunakan
- menggunakan
- pengesahan
- penjaja
- versi
- Versi
- sangat
- melalui
- Kerentanan
- kerentanan
- Rentan
- Cara..
- minggu
- ketika
- yang
- dengan
- akan
- namun
- zephyrnet.dll