У пастаянна развіваецца ландшафце кібербяспекі з'яўляюцца новыя пагрозы, якія кідаюць выклік самым асновам нашай лічбавай інфраструктуры. Адна з такіх пагроз, якая атрымала назву ShadowRay, кінула цёмны цень на арганізацыі, якія абапіраюцца на фрэймворк AI з адкрытым зыходным кодам Ray. Гэтая падступная кампанія накіравана на крытычную ўразлівасць (CVE-2023-48022) у Ray, якая стварае значную небяспеку для тысяч кампаній у розных сектарах. Нягледзячы на пастаянную эксплуатацыю на працягу апошніх сямі месяцаў, распрацоўшчыкі, якія стаяць за Ray, яшчэ не выпусцілі патч, што робіць прадпрыемствы ўразлівымі для эксплуатацыі і ўцечкі даных.
Кампанія ShadowRay: выкарыстанне і наступствы
Кампанія ShadowRay заснавана на выкарыстанні CVE-2023-48022, крытычнай уразлівасці з CVSS бал 9.8, што дазваляе аддаленым зламыснікам выконваць адвольны код праз API адпраўкі заданняў. Гэты недахоп падрывае кантроль аўтэнтыфікацыі ў кампанентах Dashboard і Client Ray, даючы несанкцыянаваны доступ для адпраўкі, выдалення і атрымання заданняў, а таксама для выканання выдаленых каманд.
Наступствы гэтага подзвігу жудасныя. Хакеры паспяхова ўзламалі мноства кластараў Ray GPU, скампраметаваўшы такія канфідэнцыяльныя даныя, як паролі да базы дадзеных, ключы SSH, токены доступу і нават магчымасць маніпуляваць мадэлямі AI. Скампраметаваныя серверы сталі асяроддзем для здабычы крыптавалют і інструментаў, якія палягчаюць пастаянны аддалены доступ, што яшчэ больш пагаршае ландшафт пагроз.
Стратэгіі выяўлення і выдалення
Выяўленне і выдаленне ShadowRay ўяўляе вялізную праблему з-за яго тайнай прыроды і складаных метадаў ухілення. У той час як традыцыйным антывірусным рашэнням можа быць складана вызначыць пагрозу, ёсць некалькі крокаў, якія арганізацыі могуць зрабіць, каб знізіць рызыку:
- маніторынг сеткі: Рэгулярна кантралюйце вытворчае асяроддзе і кластары штучнага інтэлекту на наяўнасць анамалій, асабліва ў рамках Ray.
- Правілы брандмаўэра і групы бяспекі: Укараняйце строгія правілы брандмаўэра або групы бяспекі, каб прадухіліць несанкцыянаваны доступ да кластараў Ray.
- Узровень аўтарызацыі: Прымяніць ўзровень аўтарызацыі на верхняй частцы порта Ray Dashboard (па змаўчанні: 8265), каб абмежаваць доступ і прадухіліць несанкцыянаваную адпраўку.
- IP-прывязка: пазбягайце прывязкі Ray да 0.0.0.0 для прастаты; замест гэтага выкарыстоўвайце IP-адрасы з надзейных сетак або прыватных VPC/VPN.
- Пільнасць са змаўчаннем: Старанна правярайце налады і пазбягайце спадзявацца толькі на канфігурацыі па змаўчанні, якія могуць ненаўмысна выявіць уразлівасці.
- Рэгулярныя абнаўленні і патчы: Будзьце ў курсе абнаўленняў бяспекі і патчаў, выпушчаных Anyscale для платформы Ray. Пакуль патч для CVE-2023-48022 застаецца няўлоўным, будучыя выпускі могуць ліквідаваць гэтую крытычную ўразлівасць.
- Навучаць персанал: Навучыце супрацоўнікаў перадавой практыцы кібербяспекі, у тым ліку выяўляючы падазроную дзейнасць і неадкладна паведамляючы пра магчымыя пагрозы бяспецы.
Прафілактычныя меры і лепшыя практыкі
У дадатак да неадкладных стратэгій змякчэння наступстваў арганізацыі могуць прыняць актыўныя меры для абароны сваёй інфраструктуры штучнага інтэлекту ад будучых пагроз:
- Навучанне па бяспецы: навучанне персаналу перадавой практыцы кібербяспекі, уключаючы інфармаванасць аб фішынгу, гігіену пароляў і распазнаванне падазроных дзеянняў.
- Рэгулярныя аўдыты і ацэнкі: Праводзіце рэгулярныя аўдыты бяспекі і ацэнкі інфраструктуры штучнага інтэлекту, каб выявіць уразлівасці і аператыўна ліквідаваць іх.
- Абмежаванне прывілеяў доступу: Рэалізаваць прынцып найменшых прывілеяў, каб абмежаваць доступ да крытычна важных сістэм і даных, зводзячы да мінімуму ўздзеянне магчымых узломаў.
- Практыкі бяспечнай распрацоўкі: Прымайце бяспечныя практыкі кадавання і праводзіце дбайныя праверкі кода, каб знізіць рызыку ўзнікнення ўразлівасцяў у праграмах штучнага інтэлекту.
- Кіраванне рызыкамі пастаўшчыка: Ацаніце стан бяспекі іншых пастаўшчыкоў і фрэймворкаў з адкрытым зыходным кодам, такіх як Ray, пераканаўшыся, што яны прытрымліваюцца надзейных стандартаў бяспекі.
заключэнне
ShadowRay кіберпагроза падкрэслівае крытычную важнасць абароны інфраструктуры штучнага інтэлекту ад новых пагроз. Укараняючы строгія стратэгіі змякчэння наступстваў, захоўваючы пільнасць на наяўнасць прыкмет кампрамісу і прымаючы актыўныя меры бяспекі, арганізацыі могуць умацаваць сваю абарону і знізіць рызыку, якую ўяўляюць ShadowRay і падобныя кіберпагрозы. Паколькі ландшафт кібербяспекі працягвае развівацца, меры проактыўнай абароны застаюцца краевугольным каменем эфектыўнай пазіцыі кібербяспекі.