В постоянно меняющемся мире кибербезопасности возникают новые угрозы, которые бросают вызов самим основам нашей цифровой инфраструктуры. Одна из таких угроз, получившая название ShadowRay, бросила темную тень на организации, полагающиеся на платформу искусственного интеллекта Ray с открытым исходным кодом. Эта коварная кампания нацелена на критическую уязвимость (CVE-2023-48022) в Ray, представляющую значительный риск для тысяч компаний в различных секторах. Несмотря на продолжающуюся эксплуатацию в течение последних семи месяцев, разработчики Ray до сих пор не предоставили исправление, в результате чего предприятия становятся уязвимыми для эксплуатации и утечки данных.
Кампания ShadowRay: эксплуатация и последствия
Кампания ShadowRay основана на использовании CVE-2023-48022, критической уязвимости с CVSS оценка 9.8, что позволяет удаленным злоумышленникам выполнять произвольный код через API отправки заданий. Этот недостаток подрывает средства контроля аутентификации в компонентах Ray's Dashboard и Client, предоставляя несанкционированный доступ для отправки, удаления и получения заданий, а также для выполнения удаленных команд.
Последствия этого подвига ужасны. Хакеры успешно взломали многочисленные кластеры Ray GPU, ставя под угрозу конфиденциальные данные, такие как пароли производственных баз данных, ключи SSH, токены доступа и даже возможность манипулировать моделями ИИ. Скомпрометированные серверы стали питательной средой для майнеров криптовалюты и инструментов, обеспечивающих постоянный удаленный доступ, что еще больше усугубляет ситуацию с угрозами.
Стратегии обнаружения и удаления
Обнаружение и удаление ShadowRay представляет собой сложную задачу из-за его скрытного характера и сложных методов уклонения. Хотя традиционные антивирусные решения могут с трудом обнаружить угрозу, организации могут предпринять несколько шагов для снижения риска:
- Мониторинг сети: Регулярно отслеживайте производственные среды и кластеры искусственного интеллекта на предмет аномалий, особенно в рамках Ray.
- Правила брандмауэра и группы безопасности: Внедрите строгие правила брандмауэра или группы безопасности для предотвращения несанкционированного доступа к кластерам Ray.
- Уровень авторизации: применить уровень авторизации поверх порта Ray Dashboard (по умолчанию: 8265), чтобы ограничить доступ и предотвратить несанкционированную отправку.
- IP-привязка: для простоты избегайте привязки Ray к 0.0.0.0; вместо этого используйте IP-адреса из доверенных сетей или частных VPC/VPN.
- Бдительность с настройками по умолчанию: Тщательно проверяйте настройки и не полагайтесь исключительно на конфигурации по умолчанию, которые могут непреднамеренно привести к появлению уязвимостей.
- Регулярные обновления и исправления: будьте в курсе обновлений безопасности и исправлений, выпущенных Anyscale для платформы Ray. Хотя патч для CVE-2023-48022 пока не найден, будущие выпуски могут устранить эту критическую уязвимость.
- Обучение персонала: Обучите сотрудников передовым методам кибербезопасности, включая выявление подозрительной деятельности и оперативное сообщение о потенциальных угрозах безопасности.
Профилактические меры и передовой опыт
В дополнение к стратегиям немедленного смягчения последствий организации могут принять упреждающие меры для защиты своей инфраструктуры ИИ от будущих угроз:
- Обучение по вопросам безопасности: Обучите персонал передовым методам кибербезопасности, включая осведомленность о фишинге, гигиену паролей и распознавание подозрительной активности.
- Регулярные аудиты и оценки: Проводить регулярные проверки безопасности и оценки инфраструктуры ИИ для выявления уязвимостей и оперативного их устранения.
- Ограничить права доступа: Внедрить принцип наименьших привилегий для ограничения доступа к критически важным системам и данным, сводя к минимуму последствия потенциальных взломов.
- Практики безопасной разработки: Используйте методы безопасного кодирования и проводите тщательные проверки кода, чтобы снизить риск появления уязвимостей в приложениях искусственного интеллекта.
- Управление рисками поставщика: Оцените уровень безопасности сторонних поставщиков и платформ с открытым исходным кодом, таких как Ray, и убедитесь, что они соответствуют надежным стандартам безопасности.
Заключение
ShadowRay киберугроза подчеркивает исключительную важность защиты инфраструктуры искусственного интеллекта от развивающихся угроз. Внедряя строгие стратегии смягчения последствий, сохраняя бдительность в отношении признаков компрометации и принимая упреждающие меры безопасности, организации могут укрепить свою защиту и снизить риск, создаваемый ShadowRay и аналогичными киберугрозами. Поскольку ситуация в области кибербезопасности продолжает развиваться, меры превентивной защиты остаются краеугольным камнем эффективной стратегии кибербезопасности.