用AI攻击AI：Ray AI开源框架中的老旧漏洞被用于攻击集群

Ray 由 Anyscale 公司维护，是一款用于扩展基于 Python 的AI和机器学习应用的开源框架。Ray 集群可部署到云端实现工作负载扩展，但由于该框架未实施身份验证机制，因此必须部署在安全的网络环境中进行隔离。

Ray 集群再遭攻陷

该漏洞CVE-2023-48022的CVSS评分为9.8，可导致远程未经身份验证的攻击者通过该框架的 Jobs API 执行任意代码。Anyscale 公司此前曾质疑该漏洞的合理性，认为Ray文档中清楚地说明集群不应用于受控网络环境之外，不过去年承诺将在未来版本中执行登录和认证机制。然而，直到 Oligo 公司发现数百个 Ray 集群在数据盗取活动 “ShadowRay” 中遭攻陷后，维护人员才重新调整了对于认证的立场。

现在，距离该漏洞公开披露两年后且在 ShadowRay 活动发生一年半之后，多名威胁人员都在利用 Ray 缺乏认证滥用可从互联网访问的集群。

目前该漏洞被用于新的攻击活动 “ShadowRay 2.0” 中，他们滥用该漏洞接管计算资源，进行挖矿。一名代号为 “IronErn440” 的攻击者一直在利用 Ray 的合法编排特性，自动传播其密币劫持活动。为躲避检测，攻击者对CPU的使用进行了限制，将工具伪装成合法流程，并隐藏 GPU 的使用情况避免遇到监控工具。他们还部署恶意软件并滥用合法的代码分享平台传播 payload。Oligo 公司提到，该攻击始于2024年9月，构建了“一个多用途僵尸网络，能够发动DDoS 攻击、数据盗取和实现全球自动化传播。”

用AI攻击AI

11月初，威胁行动者曾滥用GitLab进行载荷部署，但在初始仓库被移除后转移至GitHub平台，且被观察到在第二个仓库删除后立即创建了新仓库。在通过GitLab发起的攻击中，威胁行动者使用带外平台自动识别易受攻击目标，随后提交恶意任务执行侦察活动，并运行利用AI生成的Bash和Python载荷。

攻击者利用Ray框架的合法编排功能横向移动至集群所有节点，部署了多阶段Python载荷，识别集群资源、计算最优分配方案，并根据资源需求提交劫持任务。安全公司Oligo指出："从代码结构、注释和错误处理模式来看，GitLab上的载荷很可能由AI生成。攻击者正使用AI生成的攻击代码攻击AI基础设施。"

研究人员还观察到多个交互式反向Shell被部署到AWS托管的命令与控制服务器。大量Shell的存在表明攻击者可能设置了复杂故障转移机制，或是存在多个攻击团体在争夺Ray集群资源。该攻击活动专门针对配备英伟达GPU的集群进行加密劫持，并部署了多种持久化工具和脚本来识别并终止受害集群上运行的其他加密货币挖矿程序。

根据IronErn440在GitLab仓库的活跃提交记录，研究人员认为威胁行动者正在实时更新载荷，更新内容能在数小时内传遍整个网络。研究人员提到，"这是网络犯罪的DevOps实践。攻击者将GitLab用作恶意软件分发的CI/CD管道，可以通过版本控制进行A/B测试技术、回滚失败更新、响应防御措施。提交历史显示他们正在进行实时开发，" 

此外，攻击者还滥用遭入侵的集群窃取凭据，获取生产环境中MySQL数据库的根权限。在受感染工作负载中还发现了令牌、云凭证，以及某些实例上的专有定制模型。威胁行动者部署了名为Sockstress的TCP状态耗尽攻击工具，表明其可能将Ray集群武器化用于分布式拒绝服务攻击。

Oligo公司表示："被攻陷的Ray集群被用于向全球其他Ray仪表板发送攻击载荷。攻击者实质上创建了自我传播的蠕虫，利用现有受害者扫描并入侵新目标。"在将基础设施迁移至GitHub后，攻击者成功入侵了包含数千个节点的大型集群，全力利用CPU进行加密货币挖矿并更新攻击工具。该公司透露称，其中一台受感染服务器存有240GB源代码、AI模型和数据表。该公司的扫描结果显示，目前仍有超过23万台Ray服务器可从互联网直接访问，已有众多初创企业、研究机构和AI环境的服务器在此次活动中遭入侵。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。