- Rayクラスターは認証されていないJobs API経由のリモートコード実行に依然として脆弱
- 脅威グループ「IronErn440」がAI生成ペイロードで脆弱性を悪用し、XMRigクリプトジャッカーを展開
- 230,000台以上のRayサーバーがオンラインで公開されており、2023年の数千台から大幅に増加
数年前に発見された重大な脆弱性に依然として晒されているRayクラスターが、暗号通貨のマイニングやデータの持ち出し、さらには分散型サービス妨害(DDoS)攻撃にまで利用されていると、専門家が警告しています。
サイバーセキュリティ研究者のOligoによると、この脆弱性を利用した大規模な攻撃キャンペーンはこれが2回目だといいます。
Rayは、オープンソースのネットワークで、Pythonプログラムをより高速に実行するために、作業を複数のマシンに分散して処理する仕組みです。そのクラスターは、1つのヘッドノードと複数のワーカーノードからなるコンピューター群で、分散協調的にRayのタスクやワークロードを実行します。
XMRigの展開と隠蔽
2023年に、Ray 2.6.3および2.8.0に、ジョブ送信APIを通じてリモート攻撃者が任意のコードを実行できる脆弱性があることが判明しました。しかし、この製品を開発するAnyscale社は、「厳格に管理されたネットワーク環境」での運用を前提としているため、この問題を修正しませんでした。
つまり、インフラの安全確保や脆弱性の悪用防止はユーザー自身の責任となります。
しかし、実際には悪用されてしまいました。最初は2023年9月から2024年3月の間、そして現在も続いています。Oligoによると、「IronErn440」として追跡されている脅威アクターが、AI生成ペイロードを使って脆弱なクラスターに侵入しています。このバグを利用し、攻撃者は認証されていないJobs APIにジョブを送信し、GitHubやGitLabにホストされた多段階のBashやPythonペイロードを実行します。
これらのペイロードは、デバイスにマルウェア(主に悪名高いXMRigクリプトジャッカー)を展開します。通常、このクリプトジャッカーはデバイスの処理能力を100%消費し、他の用途に使えなくなるためすぐに発見されますが、攻撃者はこれを60%の処理能力に制限することで発見を回避しようとしています。
現在、インターネット上には23万台以上のRayサーバーが公開されており、研究者によれば、脆弱性発見当初の「数千台」と比べて大幅に増加しているとのことです。
