Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

ShadowRay 2.0 Exploits Unpatched Ray Flaw to Build Self-Spreading GPU Cryptomining Botnet

2 minute de lecture

Mis à jour :

ShadowRay 2.0 : Une Botnet de Minage de Cryptomonnaies Autonome Exploite une Vulnérabilité de Ray

Une campagne de cyberattaques, baptisée ShadowRay 2.0, exploite une faille de sécurité âgée de deux ans dans le framework d’intelligence artificielle (IA) open-source Ray. Cette vulnérabilité permet de transformer des clusters infectés dotés de GPU NVIDIA en une botnet de minage de cryptomonnaies autonome et auto-réplicative.

Points Clés :

  • Attaque et Évolution : ShadowRay 2.0 est une évolution d’une précédente vague observée entre septembre 2023 et mars 2024.
  • Méthode d’Exploitation : Les attaquants soumettent des tâches malveillantes à l’API de soumission de jobs Ray (non authentifiée) sur des tableaux de bord exposés.
  • Propagation : Les clusters compromis sont utilisés pour propager les charges utiles à d’autres tableaux de bord Ray, créant un ver informatique capable de se propager de victime en victime.
  • Utilisation d’Outils d’IA : Il est probable que des grands modèles linguistiques (LLM) aient été utilisés pour créer les charges utiles.
  • Fonctionnalités Multi-usages : La botnet est également utilisée pour lancer des attaques par déni de service distribué (DDoS), ciblant potentiellement des pools de minage concurrents ou d’autres infrastructures.
  • Discrétion : Les attaquants utilisent des techniques pour passer inaperçus, comme masquer les processus malveillants ou limiter l’utilisation du CPU.

Vulnérabilités :

  • CVE-2023-48022 : Une faille critique de manque d’authentification dans l’API de soumission de jobs de Ray (score CVSS: 9.8). Cette faille persiste en raison d’une “décision de conception de longue date” qui repose sur l’hypothèse que Ray est exécuté dans un environnement réseau isolé et sur du code de confiance.

Recommandations :

  • Isolation Réseau : Déployer Ray dans un environnement réseau contrôlé et isolé.
  • Pare-feu : Configurer des règles de pare-feu pour limiter l’accès non autorisé.
  • Authentification : Ajouter une authentification sur le port du tableau de bord Ray (par défaut 8265).
  • Vérification de Ports : Utiliser le “Ray Open Ports Checker” fourni par Anyscale pour valider la configuration des clusters et prévenir l’exposition accidentelle.
  • Surveillance : Examiner les processus en cours pour détecter d’autres mineurs de cryptomonnaies et les arrêter.
  • Détection d’Exposition : Utiliser des outils comme interact.sh pour identifier les adresses IP de tableaux de bord Ray potentiellement exploitables.

Source

Vous pourriez aimer