「ShadowRay」脆弱性発覚、AIワークロード危機に

Last Updated on 2024-03-28 01:30 by 荒木 啓介

Rayフレームワークにおける「ShadowRay」と名付けられた脆弱性が発見され、数千のAIワークロード、計算能力、データが危険にさらされていることがOligo Securityの研究により明らかになった。この脆弱性は、RayフレームワークのJobs APIにおける認証不足により、リモートコード実行攻撃を可能にする。攻撃者は、ダッシュボードネットワークアクセスを持つだけで、許可なく任意のジョブを実行できる。この問題は、Anyscaleによって「予想される挙動および製品機能」として論争の対象となり、パッチが提供されていない。

この脆弱性により、AIモデルの完全性や精度を損なう、モデルを盗むまたは感染させる、クラウド環境へのアクセス、生産データの漏洩、KubernetesAPIへのアクセス、パスワードやOpenAI、Stripe、Slackの認証情報、プロダクションDBの認証情報、プライベートSSHキー、OpenAIトークン、Hugging Faceトークン、Stripeトークン、Slackトークンの漏洩が可能となる。また、攻撃者はこれらの脆弱性を利用して、暗号通貨マイニングに使用するためにGPUを搭載したマシンをコンプロマイズしている。

Oligoの研究者たちは、組織に対して、Rayを安全で信頼できる環境内でのみ実行し、不正アクセスを防ぐためのファイアウォールルールやセキュリティグループを追加すること、Rayを含む生産環境とAIクラスターを継続的に監視すること、Rayダッシュボードをアクセス可能にする必要がある場合は認証レイヤーを追加するプロキシを実装することを勧めている。

【ニュース解説】

Rayフレームワークにおける「ShadowRay」と名付けられた脆弱性が発見され、これにより数千のAIワークロード、計算能力、そしてデータが危険にさらされていることが、Oligo Securityの研究によって明らかになりました。この脆弱性は、RayフレームワークのJobs APIにおける認証の不足が原因で、リモートからのコード実行攻撃を可能にします。つまり、攻撃者はダッシュボードネットワークアクセスを持つだけで、許可なく任意のジョブを実行できるようになります。この問題は、Anyscaleによって「予想される挙動および製品機能」として論争の対象となり、現在までにパッチが提供されていません。

この脆弱性を悪用することで、攻撃者はAIモデルの完全性や精度を損なう、モデルを盗むまたは感染させる、クラウド環境へのアクセス、生産データの漏洩、KubernetesAPIへのアクセス、パスワードやOpenAI、Stripe、Slackの認証情報、プロダクションDBの認証情報、プライベートSSHキー、OpenAIトークン、Hugging Faceトークン、Stripeトークン、Slackトークンの漏洩など、多岐にわたるセキュリティリスクを引き起こす可能性があります。さらに、攻撃者はこれらの脆弱性を利用して、暗号通貨マイニングに使用するためにGPUを搭載したマシンをコンプロマイズしています。

このような状況を踏まえ、Oligoの研究者たちは、組織に対して複数の対策を勧めています。具体的には、Rayを安全で信頼できる環境内でのみ実行し、不正アクセスを防ぐためのファイアウォールルールやセキュリティグループを追加すること、Rayを含む生産環境とAIクラスターを継続的に監視すること、Rayダッシュボードをアクセス可能にする必要がある場合は認証レイヤーを追加するプロキシを実装することが挙げられます。

この問題は、AI技術の発展とともに増加するセキュリティリスクに対する警鐘を鳴らしています。AIフレームワークやその他のオープンソースコンポーネントを使用する際には、セキュリティ対策を十分に施し、常に最新のセキュリティ情報に注意を払うことが重要です。また、このような「シャドウ脆弱性」は、セキュリティスキャナーによって検出されにくいため、組織は自らのセキュリティ体制を見直し、脆弱性に対する防御策を強化する必要があります。

from ‘ShadowRay’ vulnerability on Ray framework exposes thousands of AI workloads, compute power and data.