Ann an cruth-tìre cybersecurity a tha a’ sìor atharrachadh, tha bagairtean ùra a’ nochdadh a bheir dùbhlan do fhìor bhunaitean ar bun-structair didseatach. Tha aon chunnart mar sin, ris an canar ShadowRay, air dubhar dorcha a chuir air buidhnean a tha an urra ri frèam AI stòr fosgailte Ray. Tha an iomairt brùideil seo ag amas air so-leòntachd èiginneach (CVE-2023-48022) taobh a-staigh Ray, a tha na chunnart mòr dha mìltean de chompanaidhean thar diofar roinnean. A dh’ aindeoin cleachdadh leantainneach airson na seachd mìosan a dh’ fhalbh, chan eil an luchd-leasachaidh air cùl Ray fhathast air bad a thoirt seachad, a’ fàgail ghnìomhachasan so-leònte ri brath agus briseadh dàta.
Iomairt ShadowRay: Cleachdadh agus Builean
Tha iomairt ShadowRay an urra ri bhith a’ gabhail brath air CVE-2023-48022, so-leòntachd èiginneach le CVSS sgòr de 9.8, a’ leigeil le luchd-ionnsaigh iomallach còd neo-riaghailteach a chuir an gnìomh tron API tagradh obrach. Tha an locht seo a’ lagachadh smachdan dearbhaidh taobh a-staigh co-phàirtean Ray's Dashboard agus Client, a’ toirt cothrom gun chead airson obraichean a chuir a-steach, a dhubhadh às agus a thoirt air ais, a bharrachd air òrdughan iomallach a chuir an gnìomh.
Tha builean an t-seallaidh seo uamhasach. Tha hackers air grunn chlàran Ray GPU a bhriseadh gu soirbheachail, a’ dèanamh cron air dàta mothachail leithid faclan-faire stòr-dàta toraidh, iuchraichean SSH, comharran ruigsinneachd, agus eadhon an comas modalan AI a làimhseachadh. Tha luchd-frithealaidh cunnartach air a thighinn gu bhith nan àiteachan briodachaidh airson mèinnearan cryptocurrency agus innealan a’ comasachadh ruigsinneachd iomallach leantainneach, a’ dèanamh tuilleadh nas miosa de chruth-tìre bagairt.
Ro-innleachdan lorg agus toirt air falbh
Tha a bhith a’ lorg agus a’ toirt air falbh ShadowRay na dhùbhlan mòr air sgàth a nàdar falaichte agus a dhòighean seachnaidh sòlaimte. Ged a dh’ fhaodadh gum bi e doirbh do fhuasglaidhean antivirus traidiseanta an cunnart aithneachadh, tha grunn cheumannan ann a dh’ fhaodas buidhnean a ghabhail gus an cunnart a lasachadh:
- Sgrùdadh Lìonra: Cum sùil gu cunbhalach air àrainneachdan cinneasachaidh agus cruinneachaidhean AI airson neo-riaghailteachdan, gu sònraichte taobh a-staigh frèam Ray.
- Riaghailtean balla-teine agus buidhnean tèarainteachd: Cuir an gnìomh riaghailtean teann balla-teine no buidhnean tèarainteachd gus casg a chuir air ruigsinneachd gun chead gu cruinneachaidhean Ray.
- Sreath ùghdarrais: Cuir a-steach còmhdach cead aig mullach port Ray Dashboard (àbhaisteach: 8265) gus ruigsinneachd a chuingealachadh agus casg a chuir air tagraidhean gun chead.
- Ceangal IP: Seachain ceangail Ray gu 0.0.0.0 airson sìmplidh; an àite sin, cleachd seòlaidhean IP bho lìonraidhean earbsach no VPCn / VPNn prìobhaideach.
- Faireachdainn le deifir: Dearbhaich na roghainnean gu mionaideach agus seachain a bhith an urra ri rèiteachaidhean bunaiteach a-mhàin, a dh’ fhaodadh so-leòntachd a nochdadh gun fhiosta.
- Ùrachaidhean cunbhalach agus ùrachaidhean: Fuirich fios mu ùrachaidhean tèarainteachd agus pìosan a chaidh fhoillseachadh le Anyscale airson frèam Ray. Ged a tha bad airson CVE-2023-48022 fhathast so-ruigsinneach, faodaidh fiosan san àm ri teachd dèiligeadh ris a’ chugallachd èiginneach seo.
- Oideachadh Sgiobachd: Trèan luchd-obrach air na cleachdaidhean as fheàrr air cybersecurity, a’ toirt a-steach comharrachadh gnìomhachd amharasach agus aithris gu sgiobalta mu chunnartan tèarainteachd.
Ceumannan Casg agus Cleachdaidhean as Fheàrr
A bharrachd air ro-innleachdan lasachaidh sa bhad, faodaidh buidhnean gabhail ri ceumannan for-ghnìomhach gus am bun-structar AI a dhìon bho chunnartan san àm ri teachd:
- Trèanadh Mothachadh Tèarainteachd: Oideachadh luchd-obrach mu na cleachdaidhean as fheàrr air cybersecurity, a’ toirt a-steach mothachadh fiasgach, slàinteachas facal-faire, agus ag aithneachadh gnìomhachd amharasach.
- Sgrùdaidhean is Measaidhean Cunbhalach: Dèan sgrùdaidhean tèarainteachd àbhaisteach agus measaidhean air bun-structar AI gus so-leòntachd a chomharrachadh agus dèiligeadh riutha gu sgiobalta.
- Cuir crìoch air sochairean ruigsinneachd: Cuir an gnìomh prionnsapal an t-sochair as lugha gus ruigsinneachd air siostaman agus dàta èiginneach a chuingealachadh, a’ lughdachadh buaidh brisidhean a dh’ fhaodadh a bhith ann.
- Cleachdaidhean Leasachaidh tèarainte: Gabhail ri cleachdaidhean còdaidh tèarainte agus dèan lèirmheasan còd mionaideach gus an cunnart bho bhith a’ toirt a-steach so-leòntachd a-steach do thagraidhean AI a lughdachadh.
- Riaghladh Cunnairt Neach-reic: Dèan measadh air suidheachadh tèarainteachd luchd-reic treas-phàrtaidh agus frèaman stòr fosgailte mar Ray, a’ dèanamh cinnteach gu bheil iad a’ cumail ri inbhean tèarainteachd làidir.
Co-dhùnadh
An Sgàil-Ray bagairt saidhbear a’ daingneachadh cho cudromach sa tha e bun-structar AI a dhèanamh tèarainte an aghaidh bagairtean a tha ag atharrachadh. Le bhith a’ cur an gnìomh ro-innleachdan lasachaidh teann, a bhith furachail airson comharran co-rèiteachaidh, agus a’ gabhail ri ceumannan tèarainteachd for-ghnìomhach, faodaidh buidhnean an dìonan a neartachadh agus an cunnart bho ShadowRay agus bagairtean saidhbear coltach ris a lasachadh. Mar a tha cruth-tìre cybersecurity a’ sìor fhàs, tha ceumannan dìon for-ghnìomhach fhathast nan clach-oisinn ann an suidheachadh cybersecurity èifeachdach.