innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

重大脆弱性発覚!Anyscale Rayが暗号通貨マイニング悪用の温床に

重大脆弱性発覚!Anyscale Rayが暗号通貨マイニング悪用の温床に - innovaTopia - (イノベトピア)

Last Updated on 2024-07-04 08:37 by admin

サイバーセキュリティ研究者たちは、オープンソースの人工知能(AI)プラットフォームであるAnyscale Rayにおける「議論されている」未修正の脆弱性が、不正な暗号通貨マイニングのために悪用されていると警告している。この脆弱性により、攻撃者は企業のコンピューティングパワーを乗っ取り、機密データを漏洩させることが可能である。この問題は過去7ヶ月間にわたり積極的に悪用され、教育、暗号通貨、バイオファーマなどの分野に影響を与えている。このキャンペーンは、2023年9月から継続しており、ShadowRayと名付けられた。これはAIワークロードが、AIインフラの下にある欠陥を通じて野生で標的にされた最初の事例である。

Rayは、組織がAIおよびPythonワークロードを構築、訓練、スケールすることを可能にするオープンソースの完全管理型コンピュートフレームワークである。OpenAI、Uber、Spotify、Netflix、LinkedIn、Niantic、Pinterestなどの大手企業に使用されている。問題のセキュリティ脆弱性はCVE-2023-48022(CVSSスコア:9.8)、ジョブ提出APIを介してリモート攻撃者が任意のコードを実行できる重大な認証不足のバグである。この脆弱性は2023年8月にBishop Foxによって報告された。

Anyscaleは2023年11月に公開されたアドバイザリーで、現時点ではこの問題を修正する予定はないと述べている。Rayに認証が組み込まれていないことは、Rayのセキュリティ境界がどのように描かれ、Rayのデプロイメントのベストプラクティスと一致しているかに基づく長年の設計上の決定であるが、将来的には防御の深化戦略の一環として認証を提供する予定であると会社は指摘している。

Oligoは、この影の脆弱性が悪用され、数百のRay GPUクラスターが侵害され、脅威アクターが侵害されたサーバーから大量の機密クレデンシャルやその他の情報を入手する可能性があることを観察した。これには、本番データベースのパスワード、プライベートSSHキー、OpenAI、HuggingFace、Slack、Stripeに関連するアクセストークン、モデルの毒物、Amazon Web Services、Google Cloud、Microsoft Azureのクラウド環境への高度なアクセスが含まれる。多くのインスタンスでは、XMRig、NBMiner、Zephyrなどの暗号通貨マイナーや、永続的なリモートアクセスのためのリバースシェルがハッキングされていることが判明している。ShadowRayの背後にいる未知の攻撃者は、レーダー下で飛行するためにInteractshというオープンソースツールも利用している。

【ニュース解説】

オープンソースの人工知能(AI)プラットフォームであるAnyscale Rayにおける重大なセキュリティ脆弱性が発見され、この問題を悪用して不正な暗号通貨マイニングを行う攻撃が確認されました。この脆弱性(CVE-2023-48022)は、リモートから任意のコードを実行できるというもので、特に認証の欠如が原因であると指摘されています。この問題は、教育、暗号通貨、バイオファーマなどの分野に影響を及ぼしており、2023年9月から活動が続いていることが報告されています。

Rayは、AIやPythonワークロードを構築、訓練、スケールするためのフレームワークであり、OpenAIやUber、Spotifyなどの大手企業にも使用されています。しかし、この脆弱性の存在により、攻撃者は企業のコンピューティングリソースを乗っ取り、機密データを漏洩させることが可能になります。さらに、侵害されたサーバーからは、本番データベースのパスワードやプライベートSSHキー、さまざまなアクセストークンなど、重要な情報が盗まれるリスクがあります。

Anyscaleは、この脆弱性に対する修正を現時点で予定していないと発表しており、Rayのセキュリティ設計は長年にわたる決定に基づいていると説明しています。そのため、プラットフォームを安全に運用する責任は利用者側にあるとされています。

この問題の影響は広範に及び、攻撃者による悪用が確認された場合、企業のデータやリソースが大きな危険にさらされることになります。特に、暗号通貨マイニングやリモートアクセスのためのマルウェアが仕込まれることで、企業の運用に重大な支障をきたす可能性があります。

このような脆弱性の存在とその悪用は、AIプラットフォームのセキュリティ対策の重要性を改めて浮き彫りにしています。企業は、外部からの攻撃に対して十分な防御策を講じるとともに、セキュリティのベストプラクティスを遵守し、定期的な脆弱性評価を行うことが求められます。また、プラットフォーム提供者側も、セキュリティの強化と利用者への明確なガイドライン提供を怠らないことが重要です。この事件は、AI技術の発展と普及に伴い、セキュリティ対策の強化が今後さらに重要になることを示唆しています。

from Critical Unpatched Ray AI Platform Vulnerability Exploited for Cryptocurrency Mining.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 重大脆弱性発覚!Anyscale Rayが暗号通貨マイニング悪用の温床に

“重大脆弱性発覚!Anyscale Rayが暗号通貨マイニング悪用の温床に” への1件のコメント

  1. 高橋 真一のアバター
    高橋 真一

    この事例は、オープンソースのAIプラットフォームであるAnyscale Rayにおける重大なセキュリティ脆弱性の発見と、それが不正な暗号通貨マイニングに悪用されている状況を示しています。特に注目すべきは、この脆弱性が認証不足に起因しており、その修正計画が現時点でないというAnyscaleの声明です。このような状況は、技術の進歩と普及が進む中で、セキュリティ対策の重要性を改めて強調しています。

    私が特に指摘したいのは、オープンソースプロジェクトのセキュリティ対策の重要性です。オープンソースは、その柔軟性と共有の精神により、多くの革新的なプロジェクトや企業に採用されています。しかし、この事件は、オープンソースプロジェクトでも厳重なセキュリティ対策が不可欠であることを示しています。開発者や企業は、セキュリティのベストプラクティスを遵守し、定期的な脆弱性評価やパッチの適用を行う責任があります。

    また、Anyscaleの対応には疑問も残ります。セキュリティ脆弱性の存在を認識しながらも、その修正を行わないという決定は、利用者や社会に対してどのような影響を与えるかを十分に考慮していないよ

Latest News