shadowgray(shadow tray)

研究人员警告说,黑客正在积极利用流行的开源人工智能框架 Ray 中的一个有争议的漏洞。

该工具通常用于开发和部署大型Python应用程序,特别是机器学习、科学计算和数据处理等任务。

据 Ray 的开发者Anyscale称,该框架被 Uber、亚马逊和 OpenAI 等主要科技公司使用。

以色列网络安全公司 Oligo Security 的研究人员发现,由于该漏洞被追踪为 CVE-2023-48022(该公司将其称为 ShadowRay),全球数千台公开暴露的 Ray 服务器受到了损害。

该缺陷使攻击者能够控制公司的计算能力并泄露敏感数据。报告称,受影响的组织来自许多行业,包括医疗公司、视频分析公司和精英教育机构。一些受影响的设备受到损害至少七个月。

研究人员表示,黑客通过受感染的服务器泄露了大量敏感信息。

例如,访问数据库所需的一些凭据被暴露,允许攻击者悄悄下载完整的数据库。在某些计算机上,攻击者可以修改数据库或使用勒索软件对其进行加密。

据报道,其他泄露的信息包括密码哈希值、攻击者可以通过在实时平台上签署交易来耗尽支付账户的 Stripe 令牌,以及可以允许攻击者读取受影响组织的 Slack 消息或向特定渠道发送任意消息的 Slack 令牌。平台。

影子漏洞
CVE-2023-48022 早在 2023 年就被发现,最初并未被视为严重风险,因此并未得到及时修复。

根据国家漏洞数据库,该缺陷允许远程攻击者通过作业提交 API(框架提供的用于提交计算任务或作业以供执行的接口)执行任意代码。

Anyscale表示,有关此缺陷的报告无关紧要,因为 Ray“不适合在严格控制的网络环境之外使用”。事实上,该公司表示这不是一个错误,而是一个故意的设计决定。

由于围绕是否构成漏洞存在争议,ShadowRay 并未出现在多个数据库中。Oligo Security 将其称为“影子漏洞”,因为世界各地的安全团队“不知道他们可能面临风险”。

研究人员表示,ShadowRay 漏洞是“第一个已知的人工智能工作负载通过现代人工智能基础设施中的漏洞在野外被积极利用的实例”。

典型的人工智能环境包含“大量敏感信息”,使其成为黑客有利可图的目标。此外,人工智能模型通常在昂贵的高性能机器上运行,这使得它们使用的计算能力成为攻击者的主要目标。

研究人员表示:“对于人工智能驱动的公司来说,人工智能基础设施可能会成为单点故障,而对于攻击者来说,人工智能基础设施可能是一个隐藏的宝藏。”

加密货币挖矿活动
在分析过程中,Oligo 发现了数百个受损的 GPU 集群,每个集群都包含通过网络连接的众多节点。攻击者利用这些节点上的一些 GPU 进行加密货币挖掘。

根据 Oligo Security 最近几周观察到的集群,受感染的机器和计算能力的总价值估计接近 10 亿美元。

在使用 ShadowRay 进行渗透的加密货币挖矿活动中,黑客安装了 XMRig Miner、NBMiner 和基于 Java 的 Zephyr 矿机等加密货币矿机。研究人员表示,大多数报告的 GPU 集群已经受到加密货币矿工的攻击,并且据称是同一攻击者的目标。

尽管尚未确定该活动背后的具体黑客组织,但研究人员认为,威胁行为者可能是一个成熟的黑客组织的一部分。

原创文章,作者:小技术君,如若转载,请注明出处:https://www.sudun.com/ask/34072.html

Like (0)
小技术君的头像小技术君
Previous 2024年4月17日
Next 2024年4月17日

相关推荐

  • jsp域名空间是什么?(详解)

    你是否曾经听说过JSP域名空间?它是什么?它有什么作用和优势?如果你对这些问题感到好奇,那么就跟随我一起来探索吧。今天,我们将深入解析JSP域名空间,了解它的概念以及如何使用它。相…

    问答 2024年3月25日
    0
  • lynx浏览器的使用方法(详解)

    如果你是一个经常使用互联网的人,那么你一定听说过Lynx浏览器。它是一款备受关注的网络浏览器,它的简洁、高效和安全性备受用户青睐。但是,你是否真正了解Lynx浏览器的使用方法呢?在…

    问答 2024年3月30日
    0
  • 如何注册中文域名?

    想要在互联网上拥有一个属于自己的中文网站吗?那么你一定需要知道如何注册中文域名!什么是中文域名?它有哪些优势和应用场景?如何注册并注意事项?你可能还会有一些常见问题,比如注册费用、…

    问答 2024年4月12日
    0
  • 如何制作美味的巧克力pate?

    巧克力是众多甜品中备受喜爱的一种,而巧克力pate更是将巧克力的美味发挥到了极致。它不仅有着浓郁的巧克力香气,还具有柔软的口感和丰富的层次感。那么,如何制作出一款美味的巧克力pat…

    问答 2024年4月13日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注