html
- Ray 集群仍然容易受到通过未认证的 Jobs API 进行远程代码执行的漏洞
- 威胁组织“IronErn440”利用这一漏洞,使用 AI 生成的有效载荷来部署 XMRig 加密劫持程序
- 超过 230,000 台 Ray 服务器在网上暴露,较 2023 年的几千台大幅增加
专家警告,Ray 集群仍然容易受到几年前发现的严重漏洞的攻击,目前被用于加密货币挖矿、数据外泄,甚至分布式拒绝服务(DDoS)攻击。
网络安全研究人员 Oligo 表示,这是利用同一漏洞的第二次重大攻击活动。
Ray 是一个 开源 网络,通过去中心化工作并将其分配到多台机器上,帮助更快地运行 Python 程序。其集群由一台主节点和多台工作节点组成,协同工作以分布式和协调的方式运行 Ray 任务和工作负载。
部署和隐藏 XMRig
在 2023 年,有人发现 Ray 2.6.3 和 2.8.0 存在一个漏洞,允许远程攻击者通过作业提交的 API 执行任意代码。然而,产品背后的公司 Anyscale 并未修复该漏洞,因为它被设计为在“严格受控的网络环境”中运行。
也就是说——用户需要自行保护他们的基础设施,并确保该漏洞不会被滥用。
但它确实被滥用。首先,时间段是从2023年9月到2024年3月,以及现在。Oligo表示,被追踪的威胁行为者“IronErn440”现在正在使用AI生成的攻击载荷来渗透脆弱的集群。攻击者利用这个漏洞,向未经身份验证的作业API提交作业,运行托管在GitHub和GitLab上的多阶段Bash和Python攻击载荷。
这些攻击载荷将恶意程序部署到设备上 - 通常是臭名昭著的XMRig加密劫持程序。虽然这个加密劫持程序通常很容易被发现,因为它占用设备100%的处理能力,几乎无法用于其他任何事情,不过,攻击者试图通过把它限制在60%的处理能力来绕过这个问题。
研究人员警告说,如今有超过23万台雷Ray服务器暴露在互联网上,他们表示,与最初发现漏洞时仅有“几千台”可用相比,这一数字显著增长。
热门跟贴