Eine von Oligo Security analysierte Kampagne namens ShadowRay 2.0 zeigt exemplarisch, wie angreifbar moderne KI-Infrastrukturen sind, wenn Management-Schnittstellen ungeschützt im Internet stehen. Angreifer missbrauchen die RCE-Schwachstelle CVE-2023-48022 im Ray-Framework, um KI-Cluster zu kapern und in ein sich selbst verbreitendes Botnet zu überführen.
Ray-Framework und CVE-2023-48022: Kritische RCE-Lücke in KI-Cluster-Umgebungen
Ray, entwickelt von Anyscale, ist ein verbreitetes Open-Source-Framework für verteilte Python-Anwendungen. Es wird von Unternehmen wie Uber, Amazon, Spotify, LinkedIn und OpenAI für Machine Learning, Big-Data-Verarbeitung und Hochleistungsrechnen eingesetzt – inklusive Training großer Sprachmodelle.
Die Schwachstelle CVE-2023-48022 ist mit einem CVSS-Score von 9,8 als kritisch eingestuft. Ursache ist, dass die Jobs API von Ray Befehle entgegennimmt und ausführt, ohne jegliche Authentifizierung. Hat ein Angreifer Netzwerkzugriff auf einen Ray-Cluster, kann er beliebigen Code remote ausführen (Remote Code Execution, RCE) und damit die komplette Umgebung übernehmen.
Anyscale verwies bei der Offenlegung darauf, dass Ray für den Betrieb in einem „streng kontrollierten Netzwerk“ entworfen wurde und die fehlende Authentifizierung ein bewusstes Architekturdesign sei. Dadurch wurde CVE-2023-48022 teilweise zunächst nicht als klassische Schwachstelle anerkannt und in einigen Vulnerability-Datenbanken gar nicht geführt – ein typisches Beispiel für eine „Shadow Vulnerability“, die viele Security-Teams nicht auf dem Radar haben.
ShadowRay 2.0: Angriffskette und Aufbau eines KI-Botnets
KI-generierte Payloads und vollautomatisierte Ausbreitung
Nach Erkenntnissen von Oligo Security steht ein Akteur mit dem Alias IronErn440 hinter der aktuellen Welle. Auffällige Muster wie überflüssige docstrings, ungenutzte echo-Kommandos, gleichförmige Kommentare und wiederkehrende Fehlerbehandlung deuten darauf hin, dass Payloads per KI generiert wurden – ein Trend, den auch andere Sicherheitsforscher zunehmend beobachten.
Über die Ray Jobs API werden mehrstufige Bash- und Python-Payloads eingeschleust. Die Angreifer nutzen anschließend die legitimen Orchestrierungsmechanismen von Ray, um ihren Code automatisiert auf alle Nodes im Cluster auszurollen. Der kompromittierte KI-Cluster verwandelt sich so in ein eng gekoppeltes Botnet, ohne dass zusätzliche Exploits für die interne Ausbreitung nötig sind.
GitHub und GitLab als DevOps-Infrastruktur der Angreifer
Die Kampagne verlief in mindestens zwei Wellen. In der ersten Phase nutzten die Angreifer GitLab, um schädliche Payloads zu hosten; in der zweiten, seit dem 17. November andauernden Welle, wechselten sie zu GitHub. Gelöschte Repositories wurden innerhalb kürzester Zeit durch neue ersetzt – ein Vorgehen, das stark an DevOps-Pipelines mit Continuous Integration und Continuous Delivery erinnert, nur eben im Kontext von Cyberkriminalität.
Besonders problematisch: Laut Oligo Security sind aktuell über 230.000 Ray-Server direkt aus dem Internet erreichbar, während zu Beginn der ersten Angriffe nur einige Tausend Instanzen exponiert waren. Damit hat sich die potenzielle Angriffsfläche für ShadowRay 2.0 und ähnliche Kampagnen binnen kurzer Zeit massiv vergrößert – im klaren Widerspruch zu Empfehlungen von CISA und anderen Behörden, Management-Interfaces nicht öffentlich erreichbar zu machen.
Funktionalität von ShadowRay: Kryptomining, Datendiebstahl, DDoS und Wurm-Verhalten
Verdecktes Monero-Mining mit XMRig
Ein zentrales Ziel der Angreifer ist das Mining der Kryptowährung Monero mittels XMRig. Um unauffällig zu bleiben, wird die CPU-Last typischerweise auf rund 60 % begrenzt. Der Miner tarnt sich zusätzlich als scheinbar legitimer Prozess wie dns-filter, beendet konkurrierende Mining-Prozesse und blockiert fremde Mining-Pools über Manipulationen an /etc/hosts und iptables-Regeln.
Datendiebstahl, Persistenz und Remote Access
Über mehrere Reverse-Shells verschaffen sich Angreifer dauerhaften Zugriff auf die kompromittierten Systeme. Sie zielen auf sensible Informationen wie Datenbank-Zugänge (z. B. MySQL), API-Tokens, Cloud-Schlüssel, proprietäre KI-Modelle und Quellcode-Repositories. In einem Fall fanden die Forscher auf einem betroffenen Server rund 240 GB an Modellen und Datensätzen – ein deutliches Risiko für geistiges Eigentum und Compliance, insbesondere in regulierten Branchen.
Zur Persistenz manipuliert die Malware cron-Konfigurationen und systemd-Services, um sich automatisch zu starten und etwa alle 15 Minuten nach aktualisierten Payloads auf GitHub zu suchen. Dadurch können Angreifer ihr Tooling schnell anpassen, ohne jeden Host manuell aktualisieren zu müssen.
DDoS-Angriffe und selbstständige Ausbreitung als Internet-Wurm
ShadowRay integriert das Tool Sockstress, um DDoS
