Mit <kes>+ lesen

Schwachstelle in KI-Plattform wird für Schürfen von Kryptowährungen ausgenutzt

Cybersecurity-Experten warnen davor, dass Angreifer eine ungepatchte Schwachstelle in der Open-Source-KI-Plattform Anyscale Ray ausnutzen, um Rechenleistung für illegales Kryptowährungs-Mining abzugreifen.

Bedrohungen
Lesezeit 3 Min.

Sicherheitsexperten von Oligo haben in einer Erklärung gewarnt, dass diese Schwachstelle es Angreifern ermöglicht, die Rechenleistung von Unternehmen zu übernehmen und sensible Daten auszuspähen. Die Schwachstelle wurde in den letzten sieben Monaten aktiv ausgenutzt und betraf verschiedene Sektoren wie Bildung, Kryptowährung, Biopharma und andere.

Die Kampagne, die seit September 2023 läuft, wurde von der israelischen Firma für Anwendungssicherheit unter dem Codenamen ShadowRay veröffentlicht. Es ist das erste Mal, dass KI-Workloads in freier Wildbahn durch Schwachstellen in der KI-Infrastruktur angegriffen wurden.

„Ray ist ein vollständig verwaltetes Open-Source-Computing-Framework, das es Unternehmen ermöglicht, KI- und Python-Workloads zu erstellen, zu trainieren und zu skalieren. Es wird von einigen der größten Unternehmen wie OpenAI, Uber, Spotify, Netflix, LinkedIn, Niantic und Pinterest genutzt“, so die Forscher. Die fragliche Sicherheitslücke trägt die Bezeichnung CVE-2023-48022 (CVSS-Score: 9.8) und ist ein kritischer Authentifizierungsfehler, der entfernten Angreifern die Ausführung von beliebigem Code über die Job-Submission-API ermöglicht. Er wurde zusammen mit zwei weiteren Schwachstellen im August 2023 von Bishop Fox gemeldet.

Das Cybersicherheitsunternehmen erklärte, dass die fehlenden Authentifizierungskontrollen in zwei Ray-Komponenten, dem Dashboard und dem Client, es  „nicht autorisierten Akteuren ermöglichen, ungehindert Jobs einzureichen, bestehende Jobs zu löschen, sensible Informationen abzurufen und Befehle aus der Ferne auszuführen“.

So ist es möglich, dass jemand auf das Betriebssystem aller Knoten im Ray-Cluster zugreifen kann oder versucht, Anmeldedaten für Ray EC2-Instanzen abzurufen. Anyscale hat in einem Advisory im November 2023 erklärt, dass derzeit nicht geplant ist, dieses Problem zu lösen.

„Ray hat keine eingebaute Authentifizierungsfunktion, was eine bewusste Designentscheidung ist, die darauf basiert, wie Ray’s Sicherheitsgrenzen festgelegt sind. Diese Entscheidung entspricht bewährten Verfahren für die Bereitstellung von Ray. Allerdings planen wir, die Authentifizierung in einer zukünftigen Version als Teil unserer Verteidigungsstrategie anzubieten“, so das Unternehmen.

In der Dokumentation betont das Unternehmen auch, dass es in der Verantwortung des Plattformanbieters liegt sicherzustellen, dass Ray in ausreichend kontrollierten Netzwerkumgebungen läuft und dass Entwickler sicher auf das Ray-Dashboard zugreifen können.

Oligo hat beobachtet, dass die Sicherheitslücke genutzt wurde, um in Hunderte von Ray-GPU-Clustern einzudringen. Dadurch konnten die Angreifer sensible Anmeldedaten und andere wichtige Informationen von kompromittierten Servern stehlen.

Diese Daten umfassen Passwörter für Produktionsdatenbanken, private SSH-Schlüssel, Zugriffstoken für Dienste wie OpenAI, HuggingFace, Slack und Stripe. Darüber hinaus erlangten die Angreifer die Möglichkeit, Modelle zu manipulieren. Nicht zuletzt bekamen sie erweiterten Zugriff auf Cloud-Umgebungen von Amazon Web Services, Google Cloud und Microsoft Azure.

In vielen Fällen wurde festgestellt, dass infizierte Instanzen mit Kryptowährungs-Minern wie XMRig, NBMiner und Zephyr sowie mit Reverse-Shells für dauerhaften Fernzugriff gehackt wurden. Die unbekannten Angreifer hinter ShadowRay haben auch ein Open-Source-Tool namens Interactsh genutzt, um unerkannt zu bleiben.

Die Forscher erklären: „Wenn Angreifer Zugriff auf einen Ray-Produktionscluster erhalten, ist das ein Volltreffer. Wertvolle Unternehmensdaten und die Möglichkeit zur Remote-Code-Ausführung machen es einfach, Angriffe zu finanzieren – und das alles, während man im Schatten bleibt, völlig unentdeckt und von statischen Sicherheitstools schwer aufzuspüren.“

Ein Sprecher von Anyscale merkte an, dass dem Unternehmen keine Berichte über bösartige Aktivitäten von Nutzern oder Kunden vorliegen. Außerdem hat das Unternehmen ein Tool veröffentlicht, das Unternehmen dabei unterstützt, festzustellen, ob ihre Cluster gefährdet sind, und entsprechende Sicherheitskonfigurationen hinzuzufügen.

Das Open-Source-Dienstprogramm namens „Ray Open Ports Checker“ ermöglicht es Benutzern, zu überprüfen, ob ihre Cluster korrekt konfiguriert sind, um zu verhindern, dass nicht vertrauenswürdige Clients beliebigen Code auf ihren Clustern ausführen können. Anyscale plant auch, diese Funktionen standardmäßig in Ray 2.11 zu integrieren. Die neue Version soll voraussichtlich im April veröffentlicht werden.

Diesen Beitrag teilen: