องค์กรต่างๆ ที่ใช้ Ray ซึ่งเป็นกรอบงานโอเพ่นซอร์สสำหรับปรับขนาดปัญญาประดิษฐ์และเวิร์กโหลดการเรียนรู้ของเครื่องจักร ต้องเผชิญกับการโจมตีผ่านช่องโหว่ XNUMX รายการในเทคโนโลยีที่ยังไม่ได้รับการแก้ไข นักวิจัยกล่าวในสัปดาห์นี้
ความเสียหายหนักที่อาจเกิดขึ้น
ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงระบบปฏิบัติการไปยังโหนดทั้งหมดในคลัสเตอร์ Ray เปิดใช้งานการเรียกใช้โค้ดจากระยะไกล และเพิ่มสิทธิพิเศษ ข้อบกพร่องดังกล่าวก่อให้เกิดภัยคุกคามต่อองค์กรที่เปิดเผยอินสแตนซ์ Ray ของตนทางอินเทอร์เน็ตหรือแม้แต่เครือข่ายท้องถิ่น
นักวิจัยจากบิชอป ฟ็อกซ์ ค้นพบช่องโหว่ และรายงานไปยัง Anyscale ซึ่งขายเทคโนโลยีเวอร์ชันที่มีการจัดการเต็มรูปแบบในเดือนสิงหาคม นักวิจัยจากผู้จำหน่ายความปลอดภัย Protect AI ยังรายงานช่องโหว่เดียวกันสองรายการไปยัง Anyscale ก่อนหน้านี้เป็นการส่วนตัว
แต่จนถึงตอนนี้ Anyscale ยังไม่ได้แก้ไขข้อบกพร่องดังกล่าว Berenice Flores Garcia ที่ปรึกษาอาวุโสด้านความปลอดภัยของ Bishop Fox กล่าว “จุดยืนของพวกเขาคือช่องโหว่นั้นไม่เกี่ยวข้องเนื่องจาก Ray ไม่ได้ตั้งใจสำหรับการใช้งานนอกสภาพแวดล้อมเครือข่ายที่มีการควบคุมอย่างเข้มงวด และอ้างว่าได้ระบุไว้ในเอกสารของพวกเขา” Garcia กล่าว
Anyscale ไม่ตอบสนองต่อคำร้องขอความคิดเห็นของ Dark Reading ในทันที
Ray เป็นเทคโนโลยีที่องค์กรต่างๆ สามารถนำมาใช้ได้ กระจายการดำเนินการของ AI ที่ซับซ้อนและเน้นโครงสร้างพื้นฐาน และเวิร์กโหลดแมชชีนเลิร์นนิง ปัจจุบันองค์กรขนาดใหญ่หลายแห่ง (รวมถึง OpenAI, Spotify, Uber, Netflix และ Instacart) ใช้เทคโนโลยีนี้เพื่อสร้างแอปพลิเคชัน AI และการเรียนรู้ของเครื่องใหม่ที่ปรับขนาดได้ อเมซอน AWS ได้รวม Ray เข้าด้วยกัน ในบริการคลาวด์ต่างๆ ของบริษัท และได้วางตำแหน่งให้เป็นเทคโนโลยีที่องค์กรต่างๆ สามารถใช้เพื่อเร่งการขยายขนาดของแอป AI และ ML
ง่ายต่อการค้นหาและใช้ประโยชน์
ช่องโหว่ที่ Bishop Fox รายงานไปยัง Anyscale เกี่ยวข้องกับการตรวจสอบสิทธิ์และการตรวจสอบอินพุตที่ไม่เหมาะสมใน Ray Dashboard, Ray Client และส่วนประกอบอื่นๆ ที่อาจมี ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Ray เวอร์ชัน 2.6.3 และ 2.8.0 และเปิดโอกาสให้ผู้โจมตีสามารถรับข้อมูล สคริปต์ หรือไฟล์ใด ๆ ที่จัดเก็บไว้ในคลัสเตอร์ Ray “หากติดตั้งเฟรมเวิร์ก Ray ในระบบคลาวด์ (เช่น AWS) ก็เป็นไปได้ที่จะดึงข้อมูลประจำตัว IAM ที่มีสิทธิพิเศษสูง ซึ่งอนุญาตให้มีการเพิ่มระดับสิทธิ์ได้” Bishop Fox กล่าวในรายงาน
ช่องโหว่สามประการที่ Bishop Fox รายงานต่อ Anyscale ได้แก่ CVE-2023-48023, ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ที่เชื่อมโยงกับการตรวจสอบสิทธิ์ที่ขาดหายไปสำหรับฟังก์ชันที่สำคัญ CVE-2023-48022ซึ่งเป็นช่องโหว่การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ใน Ray Dashboard API ที่เปิดใช้งาน RCE และ CVE-2023-6021, ข้อผิดพลาดในการตรวจสอบอินพุตที่ไม่ปลอดภัยซึ่งทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดที่เป็นอันตรายบนระบบที่ได้รับผลกระทบ
รายงานของ Bishop Fox เกี่ยวกับช่องโหว่ทั้งสามมีรายละเอียดว่าผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องเพื่อรันโค้ดโดยอำเภอใจได้อย่างไร
ช่องโหว่เหล่านี้ง่ายต่อการหาประโยชน์ และผู้โจมตีไม่จำเป็นต้องมีทักษะด้านเทคนิคระดับสูงในการใช้ประโยชน์จากช่องโหว่เหล่านี้ Garcia กล่าว “ผู้โจมตีต้องการเพียงการเข้าถึงระยะไกลไปยังพอร์ตส่วนประกอบที่มีช่องโหว่ — พอร์ต 8265 และ 10001 ตามค่าเริ่มต้น — จากอินเทอร์เน็ตหรือจากเครือข่ายท้องถิ่น” และความรู้พื้นฐานบางอย่างของ Python เธอกล่าว
“ส่วนประกอบที่มีช่องโหว่นั้นง่ายต่อการค้นหาหาก Ray Dashboard UI ถูกเปิดเผย นี่คือประตูที่จะใช้ประโยชน์จากช่องโหว่ทั้งสามที่รวมอยู่ในคำแนะนำ” เธอกล่าวเสริม จากข้อมูลของ Garcia หากตรวจไม่พบ Ray Dashboard ก็จำเป็นต้องใช้ลายนิ้วมือที่เฉพาะเจาะจงมากขึ้นของพอร์ตบริการเพื่อระบุพอร์ตที่มีช่องโหว่ “เมื่อระบุองค์ประกอบที่มีช่องโหว่แล้ว พวกมันก็จะถูกนำไปใช้ประโยชน์ได้ง่ายมากโดยทำตามขั้นตอนจากคำแนะนำ” Garcia กล่าว
คำแนะนำของ Bishop Fox แสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อรับคีย์ส่วนตัวและข้อมูลประจำตัวที่มีสิทธิพิเศษสูงจากบัญชีคลาวด์ AWS ที่ติดตั้ง Ray ได้อย่างไร แต่ข้อบกพร่องดังกล่าวส่งผลกระทบต่อทุกองค์กรที่เปิดเผยซอฟต์แวร์กับอินเทอร์เน็ตหรือเครือข่ายท้องถิ่น
สภาพแวดล้อมเครือข่ายที่มีการควบคุม
แม้ว่า Anycase จะไม่ตอบสนองต่อ Dark Reading แต่ เอกสารของบริษัท ระบุถึงความจำเป็นสำหรับองค์กรในการปรับใช้คลัสเตอร์ Ray ในสภาพแวดล้อมเครือข่ายที่มีการควบคุม “Ray คาดว่าจะทำงานในสภาพแวดล้อมเครือข่ายที่ปลอดภัยและดำเนินการตามโค้ดที่เชื่อถือได้” เอกสารระบุ โดยกล่าวถึงความจำเป็นสำหรับองค์กรต่างๆ เพื่อให้แน่ใจว่าการรับส่งข้อมูลเครือข่ายระหว่างส่วนประกอบของ Ray เกิดขึ้นในสภาพแวดล้อมที่แยกจากกัน และต้องมีการควบคุมเครือข่ายและกลไกการตรวจสอบสิทธิ์ที่เข้มงวดเมื่อเข้าถึงบริการเพิ่มเติม
“Ray รันโค้ดที่ส่งผ่านไปอย่างซื่อสัตย์ Ray ไม่ได้แยกความแตกต่างระหว่างการทดสอบการปรับแต่ง การติดตั้งรูทคิท หรือการตรวจสอบบัคเก็ต S3” บริษัทตั้งข้อสังเกต “นักพัฒนา Ray มีหน้าที่รับผิดชอบในการสร้างแอปพลิเคชันโดยคำนึงถึงความเข้าใจนี้”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 7
- 8
- a
- เร่งความเร็ว
- เข้า
- การเข้าถึง
- ตาม
- ลงชื่อเข้าใช้
- กระทำ
- เพิ่มเติม
- จ่าหน้า
- เพิ่ม
- ความได้เปรียบ
- ที่ปรึกษา
- มีผลต่อ
- ได้รับผล
- AI
- AI / ML
- ทั้งหมด
- อนุญาต
- ด้วย
- อเมซอน
- ในหมู่
- an
- และ
- ใด
- API
- การใช้งาน
- ปพลิเคชัน
- เป็น
- เทียม
- ปัญญาประดิษฐ์
- ปัญญาประดิษฐ์และการเรียนรู้ด้วยเครื่อง
- AS
- At
- การโจมตี
- สิงหาคม
- การยืนยันตัวตน
- AWS
- ขั้นพื้นฐาน
- BE
- เพราะ
- ระหว่าง
- การก่อสร้าง
- แต่
- by
- CAN
- การเรียกร้อง
- ไคลเอนต์
- เมฆ
- บริการคลาวด์
- Cluster
- รหัส
- ความเห็น
- บริษัท
- ซับซ้อน
- ส่วนประกอบ
- ส่วนประกอบ
- ผู้ให้คำปรึกษา
- การควบคุม
- การควบคุม
- ได้
- หนังสือรับรอง
- วิกฤติ
- ขณะนี้
- คฟ
- มืด
- การอ่านที่มืด
- หน้าปัด
- ข้อมูล
- ค่าเริ่มต้น
- ปรับใช้
- รายละเอียด
- ตรวจพบ
- นักพัฒนา
- DID
- แยก
- do
- เอกสาร
- ไม่
- e
- ง่าย
- ทำให้สามารถ
- ช่วยให้
- ทำให้มั่นใจ
- สิ่งแวดล้อม
- ความผิดพลาด
- บานปลาย
- การเพิ่ม
- แม้
- ดำเนินการ
- รัน
- การปฏิบัติ
- คาดว่า
- การทดลอง
- เอาเปรียบ
- ที่เปิดเผย
- ไกล
- ไฟล์
- หา
- ลายนิ้วมือ
- ข้อบกพร่อง
- ดังต่อไปนี้
- สำหรับ
- การปลอม
- พบ
- จิ้งจอก
- กรอบ
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- ฟังก์ชัน
- ได้รับ
- ประตู
- ให้
- ที่เกิดขึ้น
- มี
- หนัก
- จุดสูง
- อย่างสูง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTML
- HTTPS
- i
- ระบุ
- แยกแยะ
- if
- ทันที
- in
- รวม
- รวมทั้ง
- อินพุต
- ไม่ปลอดภัย
- Instacart
- ติดตั้ง
- การติดตั้ง
- แบบบูรณาการ
- Intelligence
- ตั้งใจว่า
- อินเทอร์เน็ต
- เข้าไป
- เปลี่ยว
- IT
- ITS
- jpg
- คีย์
- ความรู้
- ใหญ่
- การเรียนรู้
- ชั้น
- ในประเทศ
- เครื่อง
- เรียนรู้เครื่อง
- การจัดการ
- หลาย
- กลไก
- กล่าวถึง
- ใจ
- หายไป
- ML
- ข้อมูลเพิ่มเติม
- จำเป็นต้อง
- Netflix
- เครือข่าย
- การรับส่งข้อมูลเครือข่าย
- ใหม่
- NIST
- โหนด
- เด่น
- ได้รับ
- of
- on
- ครั้งเดียว
- เพียง
- เปิด
- โอเพนซอร์ส
- OpenAI
- การดำเนินงาน
- ระบบปฏิบัติการ
- or
- องค์กร
- อื่นๆ
- ด้านนอก
- ผ่าน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- พอร์ต
- ตำแหน่ง
- ตำแหน่ง
- เป็นไปได้
- ที่อาจเกิดขึ้น
- นำเสนอ
- ก่อนหน้านี้
- ส่วนตัว
- คีย์ส่วนตัว
- สิทธิพิเศษ
- ได้รับการยกเว้น
- สิทธิ์
- ป้องกัน
- หลาม
- RAY
- การอ่าน
- รีโมท
- การเข้าถึงระยะไกล
- รายงาน
- รายงาน
- ขอ
- ต้องการ
- จำเป็นต้องใช้
- ต้อง
- นักวิจัย
- ตอบสนอง
- รับผิดชอบ
- วิ่ง
- s
- ปลอดภัย
- กล่าวว่า
- เดียวกัน
- พูดว่า
- ที่ปรับขนาดได้
- ปรับ
- สคริปต์
- ความปลอดภัย
- ขาย
- ระดับอาวุโส
- บริการ
- บริการ
- เธอ
- แสดงให้เห็นว่า
- ทักษะ
- So
- จนถึงตอนนี้
- ซอฟต์แวร์
- บาง
- แหล่ง
- โดยเฉพาะ
- Spotify
- ระบุ
- สหรัฐอเมริกา
- ขั้นตอน
- เก็บไว้
- เข้มงวด
- ระบบ
- เอา
- วิชาการ
- ทักษะทางเทคนิค
- เทคโนโลยี
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- พวกเขา
- สิ่ง
- นี้
- ในสัปดาห์นี้
- การคุกคาม
- สาม
- ผูก
- ไปยัง
- การจราจร
- ไตรยางศ์
- ที่เชื่อถือ
- จูน
- สอง
- Uber
- ui
- ความเข้าใจ
- เมื่อ
- ใช้
- การใช้
- การตรวจสอบ
- ผู้ขาย
- รุ่น
- รุ่น
- มาก
- ผ่านทาง
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- ทาง..
- สัปดาห์
- เมื่อ
- ที่
- กับ
- จะ
- ยัง
- ลมทะเล