Исследователи Oligo Security задокументировали крупномасштабную кампанию ShadowRay 2.0, в ходе которой злоумышленники превращают кластеры искусственного интеллекта на базе фреймворка Ray в самораспространяющийся ботнет. Для этого используется критическая RCE-уязвимость CVE-2023-48022, позволяющая удаленно выполнять произвольный код без аутентификации через Jobs API.
Фреймворк Ray и уязвимость CVE-2023-48022: почему это опасно
Ray, разработанный компанией Anyscale, — это популярный опенсорсный фреймворк для построения распределенных Python-приложений. Он широко применяется для задач машинного обучения, высокопроизводительных вычислений и обработки больших данных. По данным Anyscale, Ray используют крупные технологические компании, включая Uber, Amazon, Spotify, LinkedIn и OpenAI, где он задействован в обучении моделей вроде ChatGPT.
Проблема CVE-2023-48022 получила оценку 9,8 по шкале CVSS, что соответствует критическому уровню. Уязвимость связана с тем, что Jobs API в Ray может принимать и выполнять команды без какой-либо проверки подлинности. При наличии сетевого доступа атакующий способен удаленно запускать произвольный код на кластере, фактически получая полный контроль над инфраструктурой.
При раскрытии информации о CVE-2023-48022 разработчики Anyscale заявляли, что Ray изначально проектировался для работы во «внутри строго контролируемого сетевого окружения», а отсутствие аутентификации является осознанным архитектурным решением. Из-за этой позиции часть отрасли формально не рассматривала проблему как уязвимость, и она не была включена в некоторые базы данных уязвимостей, что сделало ShadowRay «теневой уязвимостью» для многих команд ИБ.
ShadowRay 2.0: как формируется ботнет из ИИ-кластеров Ray
ИИ-сгенерированные пейлоады и автоматизация атак
По данным Oligo Security, за текущей волной атак стоит злоумышленник под ником IronErn440, использующий сгенерированные искусственным интеллектом пейлоады для компрометации кластеров Ray. На это указывают характерные признаки: избыточные docstrings, неиспользуемые echo-команды, однотипные комментарии и специфические паттерны обработки ошибок, типичные для автогенерируемого кода.
Скомпрометированные узлы получали многоэтапные bash- и python-пейлоады, которые запускались через Jobs API. Далее легитимные механизмы оркестрации Ray использовались самими злоумышленниками: заражение автоматически распространялось на все ноды кластера, превращая инфраструктуру ИИ в связанный ботнет.
GitLab и GitHub как «DevOps-платформа» для киберпреступников
Эксперты выделяют две основные волны атак ShadowRay 2.0. Первая, завершившаяся 5 ноября, использовала GitLab для хостинга вредоносных пейлоадов. Вторая, начавшаяся 17 ноября и продолжающаяся до сих пор, перешла на GitHub. После удаления вредоносных репозиториев атакующие оперативно создавали новые, что напоминает полноценный DevOps-подход в киберпреступной среде.
За время между первой и второй кампанией ландшафт экспозиции заметно ухудшился. По данным Oligo Security, в открытом доступе сейчас обнаруживается более 230 000 Ray-серверов, тогда как в первые волны атак их насчитывалось всего несколько тысяч. Это значительно расширяет потенциальную поверхность атаки для ShadowRay 2.0.
Функциональность ShadowRay: от майнинга до самораспространяющегося червя
Криптомайнинг Monero и маскировка XMRig
Один из основных сценариев использования захваченных ресурсов — майнинг криптовалюты Monero с помощью XMRig. Для снижения заметности майнер ограничивает нагрузку на процессор примерно 60% и маскируется под легитимные процессы, например dns-filter. Вредонос также завершает конкурирующие майнеры и блокирует чужие пулы через модификацию /etc/hosts и правила iptables.
Кража данных и устойчивый удаленный доступ
Через многочисленные реверс-шеллы злоумышленники получают доступ к критическим данным: учетным записям MySQL, токенам доступа, облачным ключам, проприетарным моделям ИИ и исходному коду. На одном из взломанных серверов исследователи обнаружили порядка 240 ГБ данных моделей и датасетов, что демонстрирует масштаб возможной утечки интеллектуальной собственности.
DDoS-атаки и самораспространение по интернету
Дополнительно ShadowRay использует инструмент Sockstress для проведения DDoS-атак, открывая большое количество TCP-соединений через сырые сокеты и истощая ресурсы целевых систем. Параллельно зараженные кластеры автоматически сканируют интернет в поисках других уязвимых инстансов Ray, превращаясь в самораспространяющегося червя.
Для закрепления в системе малварь модифицирует конфигурации cron и systemd, обеспечивая автозапуск и периодическую (каждые 15 минут) проверку GitHub на предмет обновленных пейлоадов. Это позволяет атакующим быстро разворачивать новые версии инструментария без ручного вмешательства.
Риски для бизнеса и практические рекомендации по защите Ray
Отсутствие готовых патчей от Anyscale по-прежнему делает CVE-2023-48022 критическим фактором риска для компаний, использующих Ray в продуктивных и исследовательских кластерах. В условиях растущего числа публично доступных Ray-инстансов риск компрометации, утечки данных и несанкционированного использования вычислительных ресурсов существенно возрастает.
Специалисты Oligo Security и Anyscale рекомендуют организациям, использующим Ray, реализовать минимум следующие меры:
1. Сетная изоляция кластеров Ray. Разворачивать Ray исключительно во внутренних или сегментированных сетях, исключая прямой доступ из интернета. Использовать VPN и Zero Trust-подходы для администраторского доступа.
2. Жесткая фильтрация трафика. Ограничить доступ к Ray-нодам с помощью брандмауэров и списков контроля доступа (ACL), разрешая подключения только с доверенных адресов и сервисов.
3. Защита Dashboard и Jobs API. Добавить аутентификацию и авторизацию к панели управления Ray Dashboard (порт 8265) и интерфейсам Jobs API, по возможности помещая их за прокси с дополнительной проверкой.
4. Непрерывный мониторинг и реагирование. Внедрить мониторинг аномалий нагрузки CPU/GPU, нетипичных сетевых соединений, всплесков трафика и подозрительных заданий Jobs API. Важно своевременно блокировать неизвестные процессы, особенно маскирующиеся под системные службы.
5. Управление экспозицией. Регулярно сканировать собственную инфраструктуру (включая облачные развертывания) на предмет открытых Ray-инстансов и незадокументированных кластеров, которые могут стать входной точкой для ShadowRay 2.0 и аналогичных кампаний.
Кампания ShadowRay 2.0 демонстрирует, насколько быстро современные киберпреступники адаптируют инструменты ИИ, DevOps-практики и легитимные фреймворки для автоматизации атак. Организациям, использующим Ray и другие платформы для ИИ и высоконагруженных вычислений, следует пересмотреть модель угроз, ужесточить сетевую сегментацию и внедрить дополнительные уровни аутентификации. Чем раньше будут закрыты открытые точки входа и налажен мониторинг аномалий, тем ниже вероятность, что ваши ИИ-кластеры станут частью следующего ботнета.
