\n<\/aside>\n<\/p>\n
Miles de servidores que almacenan cargas de trabajo de IA y credenciales de red han sido pirateados en una campa\u00f1a de ataque en curso dirigida a una vulnerabilidad reportada en Ray, un marco inform\u00e1tico utilizado por OpenAI, Uber y Amazon.<\/p>\n
Los ataques, que han estado activos durante al menos siete meses, han provocado la manipulaci\u00f3n de modelos de IA. Tambi\u00e9n han resultado en el compromiso de las credenciales de red, permitiendo el acceso a redes internas y bases de datos y tokens para acceder a cuentas en plataformas como OpenAI, Hugging Face, Stripe y Azure. Adem\u00e1s de corromper modelos y robar credenciales, los atacantes detr\u00e1s de la campa\u00f1a han instalado mineros de criptomonedas en infraestructura comprometida, que normalmente proporciona cantidades masivas de potencia inform\u00e1tica. Los atacantes tambi\u00e9n han instalado shells inversos, que son interfaces basadas en texto para controlar servidores de forma remota.<\/p>\n
Ganar el premio gordo<\/h2>\n \u00abCuando los atacantes ponen sus manos en un cl\u00faster de producci\u00f3n de Ray, es un premio gordo\u00bb, escribieron en una publicaci\u00f3n investigadores de Oligo, la empresa de seguridad que detect\u00f3 los ataques. \u00abLos datos valiosos de la empresa, adem\u00e1s de la ejecuci\u00f3n remota de c\u00f3digo, facilitan la monetizaci\u00f3n de los ataques, todo ello mientras se permanece en las sombras, sin ser detectado (y, con herramientas de seguridad est\u00e1ticas, indetectable)\u00bb.<\/p>\n
Entre la informaci\u00f3n sensible comprometida se encuentran las cargas de trabajo de producci\u00f3n de IA, que permiten a los atacantes controlar o alterar los modelos durante la fase de entrenamiento y, a partir de ah\u00ed, corromper la integridad de los modelos. Los cl\u00fasteres vulnerables exponen un panel central a Internet, una configuraci\u00f3n que permite a cualquiera que lo busque ver un historial de todos los comandos ingresados \u200b\u200bhasta la fecha. Este historial permite a un intruso aprender r\u00e1pidamente c\u00f3mo funciona un modelo y a qu\u00e9 datos confidenciales tiene acceso.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nOligo captur\u00f3 capturas de pantalla que expon\u00edan datos privados confidenciales y mostraban historiales que indicaban que los cl\u00fasteres hab\u00edan sido pirateados activamente. Los recursos comprometidos inclu\u00edan hashes de contrase\u00f1as criptogr\u00e1ficas y credenciales para bases de datos internas y cuentas en OpenAI, Stripe y Slack.<\/p>\n
\n
\n\n\n Operador de Kuberay ejecut\u00e1ndose con permisos de administrador en la API de Kubernetes. <\/p>\n<\/figcaption><\/figure>\n<\/li>\n
\n\n Se accede a los hashes de contrase\u00f1a. <\/p>\n<\/figcaption><\/figure>\n<\/li>\n
\n\n Credenciales de la base de datos de producci\u00f3n. <\/p>\n<\/figcaption><\/figure>\n<\/li>\n
\n\n Modelo de IA en acci\u00f3n: manejo de una consulta enviada por un usuario en tiempo real. El atacante podr\u00eda abusar del modelo, lo que potencialmente podr\u00eda modificar las solicitudes o respuestas de los clientes. <\/p>\n<\/figcaption><\/figure>\n<\/li>\n
\n\n Tokens para OpenAI, Stripe y Slack y credenciales de bases de datos. <\/p>\n<\/figcaption><\/figure>\n<\/li>\n
\n\n Panel de control del cl\u00faster con cargas de trabajo de producci\u00f3n y tareas activas. <\/p>\n<\/figcaption><\/figure>\n<\/li>\n<\/ul><\/div>\n
Ray es un marco de c\u00f3digo abierto para escalar aplicaciones de IA, lo que significa permitir que una gran cantidad de ellas se ejecuten a la vez de manera eficiente. Normalmente, estas aplicaciones se ejecutan en grandes grupos de servidores. La clave para que todo esto funcione es un panel central que proporciona una interfaz para mostrar y controlar las tareas y aplicaciones en ejecuci\u00f3n. Una de las interfaces de programaci\u00f3n disponibles a trav\u00e9s del panel, conocida como Jobs API, permite a los usuarios enviar una lista de comandos al cl\u00faster. Los comandos se emiten mediante una simple solicitud HTTP que no requiere autenticaci\u00f3n.<\/p>\n
El a\u00f1o pasado, investigadores de la firma de seguridad Bishop Fox se\u00f1alaron el comportamiento como una vulnerabilidad de ejecuci\u00f3n de c\u00f3digo de alta gravedad rastreada como CVE-2023-48022.<\/p>\n
Un marco de ejecuci\u00f3n distribuido<\/h2>\n \u00abEn la configuraci\u00f3n predeterminada, Ray no aplica la autenticaci\u00f3n\u00bb, escribi\u00f3 Berenice Flores Garc\u00eda, consultora senior de seguridad de Bishop Fox. \u00abComo resultado, los atacantes pueden enviar trabajos libremente, eliminar trabajos existentes, recuperar informaci\u00f3n confidencial y explotar las otras vulnerabilidades descritas en este aviso\u00bb.<\/p>\n
Anyscale, el desarrollador y mantenedor de Ray, respondi\u00f3 cuestionando la vulnerabilidad. Los funcionarios de Anyscale dijeron que siempre han presentado a Ray como un marco para ejecutar c\u00f3digo de forma remota y, como resultado, han aconsejado durante mucho tiempo que deber\u00eda segmentarse adecuadamente dentro de una red adecuadamente segura.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\u00abDebido a la naturaleza de Ray como marco de ejecuci\u00f3n distribuida, el l\u00edmite de seguridad de Ray est\u00e1 fuera del cl\u00faster de Ray\u00bb, escribieron los funcionarios de Anyscale. \u00abEs por eso que enfatizamos que debe evitar el acceso a su cl\u00faster Ray desde m\u00e1quinas que no sean de confianza (por ejemplo, la Internet p\u00fablica)\u00bb.<\/p>\n
La respuesta de Anyscale dec\u00eda que el comportamiento informado en la API de trabajos no era una vulnerabilidad y no se abordar\u00eda en una actualizaci\u00f3n a corto plazo. La compa\u00f1\u00eda continu\u00f3 diciendo que eventualmente introducir\u00eda un cambio que impondr\u00eda la autenticaci\u00f3n en la API. Explic\u00f3:<\/p>\n
\nHemos considerado muy seriamente si algo as\u00ed ser\u00eda una buena idea o no, y hasta la fecha no lo hemos implementado por temor a que nuestros usuarios conf\u00eden demasiado en un mecanismo que podr\u00eda terminar proporcionando una fachada de seguridad sin proteger adecuadamente sus grupos en la forma que imaginaban.<\/p>\n
Dicho esto, reconocemos que las mentes razonables pueden diferir sobre este tema y, en consecuencia, hemos decidido que, si bien todav\u00eda no creemos que una organizaci\u00f3n deba depender de controles de aislamiento dentro de Ray como la autenticaci\u00f3n, puede ser valioso en ciertos contextos para promover una estrategia de defensa en profundidad, por lo que implementaremos esto como una nueva caracter\u00edstica en una versi\u00f3n futura.<\/p>\n<\/blockquote>\n
Los cr\u00edticos de la respuesta de Anyscale han se\u00f1alado que los repositorios para optimizar la implementaci\u00f3n de Ray en entornos de nube vinculan el tablero a 0.0.0.0, una direcci\u00f3n utilizada para designar todas las interfaces de red y para designar el reenv\u00edo de puertos en la misma direcci\u00f3n. Uno de esos textos est\u00e1ndar para principiantes est\u00e1 disponible en el sitio web de Anyscale. Otro ejemplo de una configuraci\u00f3n vulnerable disponible p\u00fablicamente est\u00e1 aqu\u00ed.<\/p>\n
Los cr\u00edticos tambi\u00e9n se\u00f1alan que la afirmaci\u00f3n de Anyscale de que el comportamiento informado no es una vulnerabilidad ha impedido que muchas herramientas de seguridad detecten ataques.<\/p>\n
Un representante de Anyscale dijo en un correo electr\u00f3nico que la compa\u00f1\u00eda planea publicar un script que permitir\u00e1 a los usuarios verificar f\u00e1cilmente si sus instancias de Ray est\u00e1n expuestas a Internet.<\/p>\n
Los ataques en curso subrayan la importancia de configurar Ray correctamente. En los enlaces proporcionados anteriormente, Oligo y Anyscale enumeran pr\u00e1cticas que son esenciales para bloquear cl\u00fasteres. Oligo tambi\u00e9n proporcion\u00f3 una lista de indicadores que los usuarios de Ray pueden utilizar para determinar si sus instancias se han visto comprometidas.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas Miles de servidores que almacenan cargas de trabajo de IA y credenciales de red han sido pirateados en una campa\u00f1a de ataque en curso dirigida a una vulnerabilidad…<\/p>\n","protected":false},"author":1,"featured_media":823903,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[1089,8885,6039,6730,2512,27113,17199,2033],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1069085"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=1069085"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1069085\/revisions"}],"predecessor-version":[{"id":1069086,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1069085\/revisions\/1069086"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/823903"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=1069085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=1069085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=1069085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}