Cybersecurity-onderzoekers waarschuwen dat bedreigingsactoren actief misbruik maken van een ‘betwiste’ en niet-gepatchte kwetsbaarheid in een open-source platform voor kunstmatige intelligentie (AI), genaamd Anyscale Ray, om rekenkracht te kapen voor illegale cryptocurrency-mining.
“Deze kwetsbaarheid stelt aanvallers in staat de rekenkracht van bedrijven over te nemen en gevoelige gegevens te lekken”, zeiden Oligo Security-onderzoekers Avi Lumelsky, Guy Kaplan en Gal Elbaz in een openbaarmaking van dinsdag.
“Deze fout wordt de afgelopen zeven maanden actief uitgebuit en heeft gevolgen voor sectoren als het onderwijs, cryptocurrency, biofarmaceutica en meer.”
De campagne, die sinds september 2023 loopt, heeft de codenaam Schaduwstraal door het Israëlische applicatiebeveiligingsbedrijf. Het is ook de eerste keer dat AI-workloads in het wild worden aangepakt vanwege tekortkomingen die ten grondslag liggen aan de AI-infrastructuur.
Ray is een open source, volledig beheerd computerframework waarmee organisaties AI- en Python-workloads kunnen bouwen, trainen en schalen. Het bestaat uit een gedistribueerde kernruntime en een reeks AI-bibliotheken om het ML-platform te vereenvoudigen.
Het wordt gebruikt door enkele van de grootste bedrijven, waaronder onder meer OpenAI, Uber, Spotify, Netflix, LinkedIn, Niantic en Pinterest.
Het beveiligingsprobleem in kwestie is CVE-2023-48022 (CVSS-score: 9,8), een kritieke ontbrekende authenticatiebug waarmee aanvallers op afstand willekeurige code kunnen uitvoeren via de taakverzendings-API. Het werd in augustus 2023 door bisschop Fox gemeld, samen met twee andere tekortkomingen.
Het cyberbeveiligingsbedrijf zei dat het gebrek aan authenticatiecontroles in twee Ray-componenten, Dashboard en Client, zou kunnen worden uitgebuit door “ongeautoriseerde actoren om vrijelijk opdrachten in te dienen, bestaande opdrachten te verwijderen, gevoelige informatie op te halen en opdrachten op afstand uit te voeren.”
Dit maakt het mogelijk om besturingssysteemtoegang te verkrijgen tot alle knooppunten in het Ray-cluster of om Ray EC2-instantiereferenties op te halen. Anyscale zei in een advies gepubliceerd in november 2023 dat het niet van plan is het probleem op dit moment op te lossen.
“Dat Ray geen ingebouwde authenticatie heeft – is een ontwerpbeslissing die al lang bestaat, gebaseerd op de manier waarop Ray’s veiligheidsgrenzen worden getrokken en die consistent is met best practices voor Ray-implementatie, hoewel we van plan zijn om authenticatie in een toekomstige versie aan te bieden als onderdeel van een verdedigingslinie.” -dieptestrategie”, merkte het bedrijf op.
Het waarschuwt in zijn documentatie ook dat het de verantwoordelijkheid van de platformaanbieder is om ervoor te zorgen dat Ray in “voldoende gecontroleerde netwerkomgevingen” draait en dat ontwikkelaars op een veilige manier toegang hebben tot Ray Dashboard.
Oligo zei dat het zag dat de schaduwkwetsbaarheid werd uitgebuit om honderden Ray GPU-clusters te doorbreken, waardoor de dreigingsactoren mogelijk een schat aan gevoelige inloggegevens en andere informatie van gecompromitteerde servers konden bemachtigen.
Dit omvat wachtwoorden voor productiedatabases, privé-SSH-sleutels, toegangstokens gerelateerd aan OpenAI, HuggingFace, Slack en Stripe, de mogelijkheid om modellen te vergiftigen en verhoogde toegang tot cloudomgevingen van Amazon Web Services, Google Cloud en Microsoft Azure.
In veel van de gevallen is gebleken dat de geïnfecteerde instanties zijn gehackt met cryptocurrency-miners (bijvoorbeeld XMRig, NBMiner en Zephyr) en reverse shells voor permanente toegang op afstand.
De onbekende aanvallers achter ShadowRay hebben ook gebruik gemaakt van een open-source tool genaamd Interactsh om onder de radar te vliegen.
“Als aanvallers een Ray-productiecluster in handen krijgen, is het een jackpot”, aldus de onderzoekers. “Waardevolle bedrijfsgegevens plus uitvoering van code op afstand maken het gemakkelijk om inkomsten te genereren met aanvallen, terwijl je in de schaduw blijft, totaal onopgemerkt (en, met statische beveiligingstools, niet op te sporen).”
