Oligoの報告によると、脅威アクターがRay AIフレームワークの2年前の脆弱性を悪用し、多数のクラスターを標的とした新たなキャンペーンを展開しています。
Anyscaleによって管理されているRayは、PythonベースのAIおよびMLアプリケーションをスケーリングするためのオープンソースフレームワークです。Rayクラスターはクラウドにデプロイしてワークロードをスケールできますが、フレームワークには認証機能が実装されていないため、安全なネットワーク環境で保護・隔離する必要があります。
この問題はCVE-2023-48022(CVSSスコア9.8)として追跡されており、リモートの認証されていない攻撃者がフレームワークのJobs APIを介して任意のコードを実行できるものです。
Anyscaleはこのバグに異議を唱え、Rayのドキュメントにはクラスターを管理されたネットワーク環境外で使用しないよう明記されていると指摘しましたが、昨年には将来のリリースでログインおよび認証機構を実装すると述べていました。
しかし、Oligoが数百のRayクラスターが侵害されたデータ窃取キャンペーン「ShadowRay」を発見したことで、メンテナは認証に対する姿勢を再検討しました。
現在、CVE-2023-48022が公開されてから2年、ShadowRayキャンペーンが発見されてから1年半が経過した今、複数の脅威アクターがRayの認証欠如を悪用し、インターネットからアクセス可能なクラスターを攻撃しているとOligoは報告しています。
新たなキャンペーン「ShadowRay 2.0」の一環として、複数の脅威アクターがこの脆弱性を悪用し、暗号資産マイニングのためにコンピューティングリソースを乗っ取っています。
IronErn440と名付けられた攻撃者は、Rayの正規のオーケストレーション機能を利用して、自動的にクリプトジャッキング活動を拡散しているとOligoは述べています。
検知を回避するため、攻撃者はCPU使用率を制限したり、ツールを正規プロセスに偽装したり、GPUの使用を監視ツールから隠すなどの手法を用いていました。また、マルウェアを展開し、正規のコード共有プラットフォームをペイロード配信に悪用していました。
このキャンペーンは2024年9月から活動しており、「DDoS攻撃、データ流出、グローバルな自律拡散が可能な多目的ボットネットを構築している」とOligoは述べています。
11月初旬には、脅威アクターはペイロードのステージングにGitLabを悪用していましたが、最初のリポジトリが削除された後はGitHubに移行し、2つ目のリポジトリが削除された直後に新たなリポジトリを作成している様子が確認されました。
GitLab発の攻撃の一環として、脅威アクターはアウトオブバンドのプラットフォームを使って脆弱なターゲットを自動的に特定し、偵察やAIで作成したBashおよびPythonペイロードの実行を行う悪意あるジョブを送信していました。
Rayの正規のオーケストレーション機能を使ってクラスター内の全ノードに横展開し、クラスターリソースの特定、最適な割り当ての計算、必要なリソース要件で乗っ取りジョブを送信する多段階のPythonペイロードを展開していました。
「GitLabからのペイロードは、その構造やコメント、エラーハンドリングパターンからAI生成である可能性が高いです。攻撃者は今やAIインフラを標的とした攻撃コードをAIで生成しています」とOligoは指摘しています。
セキュリティ企業はまた、AWS上のC&Cサーバーに対して複数のインタラクティブなリバースシェルが展開されているのも観測しました。シェルの多さは、高度なフェイルオーバー機構があるか、複数の攻撃者がRayクラスターを標的としてリソースを奪い合っている可能性を示唆しています。
このキャンペーンは特にNVIDIA GPUを搭載したクラスターをクリプトジャッキングの標的とし、複数の永続化ツールやスクリプトを展開して、侵害されたクラスター上で動作する競合する暗号資産マイナーを特定・終了していました。
IronErn440のGitLabリポジトリのアクティブなコミットから、Oligoは脅威アクターがリアルタイムでペイロードを更新していたと考えています。更新は数時間以内にネットワーク全体に伝播していました。
「これはサイバー犯罪におけるDevOpsです。攻撃者はGitLabをマルウェア配布のCI/CDパイプラインとして利用していました。A/Bテストや失敗した更新のロールバック、防御策への対応もバージョン管理を通じて行えます。コミット履歴はリアルタイムのアクティブな開発を示していました」とOligoは述べています。
さらに、攻撃者は侵害したクラスターを悪用して認証情報を窃取し、本番環境にデプロイされたMySQLデータベースへのrootアクセスを得ていました。侵害されたワークロード上にはトークンやクラウド認証情報、さらに一部インスタンスには独自のカスタムモデルも発見されました。
脅威アクターはまた、Sockstressと呼ばれるTCPステート枯渇ツールも展開しており、Rayクラスターを分散型サービス拒否(DDoS)攻撃の武器として利用している可能性があります。
「侵害されたRayクラスターは、他のRayダッシュボードに攻撃ペイロードをばらまくために使われていました。攻撃者は、1つの被害者を使って次の被害者をスキャン・侵害する自己増殖型ワームを実質的に作り出したのです」とOligoは述べています。
インフラをGitHubに移行した後、攻撃者は数千ノードのクラスターを侵害し、CPUをフル活用して暗号資産マイニングやツールの更新を行っていました。
侵害されたサーバーの1つには、240ギガバイトのソースコード、AIモデル、データシートが含まれていたとOligoは述べています。
セキュリティ企業のスキャンでは、ウェブからアクセス可能なRayサーバーが23万台以上発見されました。このキャンペーンで、多くのスタートアップ、研究機関、AI環境のサーバーが侵害されています。
翻訳元: https://www.securityweek.com/two-year-old-ray-ai-framework-flaw-exploited-in-ongoing-campaign/
