ארגונים המשתמשים ב-Ray, מסגרת הקוד הפתוח להגדלת עומסי העבודה של בינה מלאכותית ולמידת מכונה, נחשפים להתקפות באמצעות שלישיית נקודות תורפה שטרם טופלו בטכנולוגיה, אמרו החוקרים השבוע.
פוטנציאל נזק כבד
הפגיעויות נותנות לתוקפים דרך להשיג, בין היתר, גישה למערכת ההפעלה לכל הצמתים באשכול Ray, לאפשר ביצוע קוד מרחוק ולהסלים הרשאות. הפגמים מהווים איום על ארגונים החושפים את מופעי ה-Ray שלהם לאינטרנט או אפילו לרשת מקומית.
חוקרים מהבישוף פוקס גילה את נקודות התורפה ודיווח עליהם ל-Anyscale - שמוכרת גרסה מנוהלת מלאה של הטכנולוגיה - באוגוסט. חוקרים מחברת האבטחה Protect AI גם דיווחו באופן פרטי על שתי נקודות תורפה מאותן ל-Anyscale בעבר.
אבל עד כה, Anyscale לא טיפלה בפגמים, אומרת ברניס פלורס גרסיה, יועצת אבטחה בכירה בבישוף פוקס. "העמדה שלהם היא שהפגיעויות אינן רלוונטיות מכיוון שריי לא מיועדת לשימוש מחוץ לסביבת רשת מבוקרת בקפדנות וטוענת שזה מצוין בתיעוד שלהם", אומר גרסיה.
Anyscale לא הגיב מיד לבקשת Dark Reading לתגובה.
ריי היא טכנולוגיה שארגונים יכולים להשתמש בה להפיץ את הביצוע של AI מורכב, עתיר תשתית ועומסי עבודה של למידת מכונה. ארגונים גדולים רבים (כולל OpenAI, Spotify, Uber, Netflix ו-Instacart) משתמשים כיום בטכנולוגיה לבניית יישומי בינה מלאכותית ולמידת מכונה חדשים. של אמזון AWS שילבה את Ray לתוך רבים משירותי הענן שלה ומיצבה אותו כטכנולוגיה שארגונים יכולים להשתמש בה כדי להאיץ את קנה המידה של אפליקציות AI ו-ML.
קל למצוא ולנצל
הפגיעויות שעליהן דיווח בישופ פוקס ל-Anyscale נוגעות לאימות ואימות קלט לא תקין ב-Ray Dashboard, Ray Client, ופוטנציאל לרכיבים אחרים. הפגיעויות משפיעות על גרסאות ריי 2.6.3 ו-2.8.0 ומאפשרות לתוקפים דרך להשיג נתונים, סקריפטים או קבצים המאוחסנים באשכול Ray. "אם המסגרת של Ray מותקנת בענן (כלומר, AWS), ניתן לאחזר אישורי IAM בעלי זכויות יתר המאפשרות הסלמה של הרשאות", אמר בישוף פוקס בדו"ח שלו.
שלוש נקודות התורפה שעליהן דיווח בישוף פוקס ל-Anyscale הן CVE-2023-48023, פגיעות של ביצוע קוד מרחוק (RCE) הקשורה לאימות חסר עבור פונקציה קריטית; CVE-2023-48022, פגיעות של זיוף בקשות בצד השרת ב-Ray Dashboard API המאפשרת RCE; ו CVE-2023-6021, שגיאת אימות קלט לא מאובטח המאפשרת גם לתוקף מרוחק להפעיל קוד זדוני במערכת מושפעת.
הדו"ח של בישוף פוקס על שלושת הפגיעויות כלל פרטים על האופן שבו תוקף יכול לנצל את הפגמים כדי לבצע קוד שרירותי.
קל לנצל את הפגיעויות, ותוקפים אינם דורשים רמה גבוהה של מיומנויות טכניות כדי לנצל אותן, אומר גרסיה. "תוקף דורש רק גישה מרחוק ליציאות הרכיבים הפגיעות - יציאות 8265 ו-10001 כברירת מחדל - מהאינטרנט או מרשת מקומית", וקצת ידע בסיסי ב-Python, היא אומרת.
"קל מאוד למצוא את הרכיבים הפגיעים אם ממשק המשתמש של Ray Dashboard חשוף. זה השער לניצול שלושת הפגיעויות הכלולות בייעוץ", היא מוסיפה. לדברי גרסיה, אם ה-Ray Dashboard לא יזוהה, תידרש טביעת אצבע ספציפית יותר של יציאות השירות כדי לזהות את היציאות הפגיעות. "ברגע שמזהים את הרכיבים הפגיעים, קל מאוד לנצל אותם בעקבות השלבים מהייעוץ", אומר גרסיה.
הייעוץ של בישופ פוקס מראה כיצד תוקף יכול לנצל את הפגיעויות כדי להשיג מפתח פרטי ואישורים בעלי זכויות יתר מחשבון ענן AWS שבו מותקן Ray. אבל הפגמים משפיעים על כל הארגונים החושפים את התוכנה לאינטרנט או לרשת המקומית.
סביבת רשת מבוקרת
למרות ש-Anycase לא הגיב לקריאה אפלה, ה התיעוד של החברה מציין את הצורך של ארגונים לפרוס אשכולות ריי בסביבת רשת מבוקרת. "ריי מצפה לרוץ בסביבת רשת בטוחה ולפעול לפי קוד מהימן", נכתב בתיעוד. הוא מזכיר את הצורך של ארגונים להבטיח שתעבורת רשת בין רכיבי Ray מתרחשת בסביבה מבודדת ולהיות בעלי בקרות רשת ומנגנוני אימות קפדניים בעת גישה לשירותים נוספים.
"ריי מבצעת נאמנה קוד שמועבר אליו - ריי לא מבדילה בין ניסוי כוונון, התקנת rootkit או בדיקת דלי S3", ציינה החברה. "מפתחי ריי אחראים לבניית האפליקציות שלהם מתוך מחשבה על הבנה זו."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads
- :יש ל
- :הוא
- :לֹא
- :איפה
- 7
- 8
- a
- להאיץ
- גישה
- גישה
- פי
- חֶשְׁבּוֹן
- לפעול
- נוסף
- ממוען
- מוסיף
- יתרון
- ייעוץ
- להשפיע על
- מושפע
- AI
- AI / ML
- תעשיות
- להתיר
- גם
- אמזון בעברית
- בין
- an
- ו
- כל
- API
- יישומים
- אפליקציות
- ARE
- מלאכותי
- בינה מלאכותית
- בינה מלאכותית ולמידה מכונה
- AS
- At
- המתקפות
- אוגוסט
- אימות
- AWS
- בסיסי
- BE
- כי
- בֵּין
- בִּניָן
- אבל
- by
- CAN
- טענות
- לקוחות
- ענן
- שירותי ענן
- אשכול
- קוד
- הערה
- חברה
- מורכב
- רְכִיב
- רכיבים
- יועץ
- נשלט
- בקרות
- יכול
- אישורים
- קריטי
- כיום
- Cve
- כהה
- קריאה אפלה
- לוח מחוונים
- נתונים
- בְּרִירַת מֶחדָל
- לפרוס
- פרטים
- זוהה
- מפתחים
- DID
- להבחין
- do
- תיעוד
- לא
- e
- קל
- לאפשר
- מאפשר
- לְהַבטִיחַ
- סביבה
- שגיאה
- להסלים
- הסלמה
- אֲפִילוּ
- לבצע
- מוציאים להורג
- הוצאת להורג
- מצפה
- לְנַסוֹת
- לנצל
- חשוף
- רחוק
- קבצים
- טביעת אצבעות
- פגמים
- הבא
- בעד
- זיוף
- מצא
- שועל
- מסגרת
- החל מ-
- לגמרי
- פונקציה
- לְהַשִׂיג
- שער
- לתת
- קורה
- יש
- כבד
- גָבוֹהַ
- מאוד
- איך
- HTML
- HTTPS
- i
- מזוהה
- לזהות
- if
- מיד
- in
- כלול
- כולל
- קלט
- לא בטוח
- instacart
- להתקין
- מותקן
- משולב
- מוֹדִיעִין
- התכוון
- אינטרנט
- אל תוך
- מְבוּדָד
- IT
- שֶׁלָה
- jpg
- מפתח
- ידע
- גָדוֹל
- למידה
- רמה
- מקומי
- מכונה
- למידת מכונה
- הצליח
- רב
- מנגנוני
- אזכורים
- אכפת לי
- חסר
- ML
- יותר
- צורך
- נטפליקס
- רשת
- תנועת רשת
- חדש
- ניסט
- צמתים
- ציין
- להשיג
- of
- on
- פעם
- רק
- לפתוח
- קוד פתוח
- OpenAI
- פועל
- מערכת הפעלה
- or
- ארגונים
- אחר
- בחוץ
- עבר
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- יציאות
- עמדה
- מיקום
- אפשרי
- פוטנציאל
- להציג
- קוֹדֶם
- פְּרָטִי
- מפתח פרטי
- זְכוּת
- חסוי
- הרשאות
- להגן
- פיתון
- RAY
- קריאה
- מרחוק
- גישה מרחוק
- לדווח
- דווח
- לבקש
- לדרוש
- נדרש
- דורש
- חוקרים
- להגיב
- אחראי
- הפעלה
- s
- בטוח
- אמר
- אותו
- אומר
- להרחבה
- דרוג
- סקריפטים
- אבטחה
- מוכר
- לחצני מצוקה לפנסיונרים
- שרות
- שירותים
- היא
- הופעות
- מיומנויות
- So
- עד כה
- תוכנה
- כמה
- מָקוֹר
- ספציפי
- Spotify
- אמור
- הברית
- צעדים
- מאוחסן
- קפדן
- מערכת
- לקחת
- טכני
- כישורים טכניים
- טכנולוגיה
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- הֵם
- דברים
- זֶה
- השבוע
- איום
- שְׁלוֹשָׁה
- קָשׁוּר
- ל
- תְנוּעָה
- שלישיה
- מהימן
- כונון
- שתיים
- סופר
- ui
- הבנה
- על
- להשתמש
- באמצעות
- אימות
- מוכר
- גרסה
- גירסאות
- מאוד
- באמצעות
- פגיעויות
- פגיעות
- פגיע
- דֶרֶך..
- שבוע
- מתי
- אשר
- עם
- היה
- עוד
- זפירנט