Impacto mundial (en el momento de la difusión)
- 315 hosts afectados globalmente
- 77% de los hosts globalmente afectados con una página de inicio de sesión expuesta
- Tres hosts afectados globalmente con directorios de archivos expuestos
Principales países afectados:
1. Países Bajos
2. Afganistán
3. EE.UU.
4. China
5. Bélgica
Resumen
Censys es consciente de que el 28 de noviembre de 2023 se publicó una vulnerabilidad de ejecución remota de código (RCE) a través de la API de envío de trabajos para el marco Ray AI de Anyscale. En ese momento, "CVE-2023-48022 no se consideró inicialmente un riesgo grave y no se solucionó con prontitud"(The Record). El NVD afirma que "la posición del proveedor es que este informe es irrelevante porque Ray, como se indica en su documentación, no está diseñado para su uso fuera de un entorno de red estrictamente controlado". La vulnerabilidad ha sido actualizada desde entonces y ha contribuido a miles de compromisos de servidores Ray expuestos, según Oligo Security.
Impacto
Según The Record, "[e]ste fallo permite a los atacantes hacerse con el control de la potencia de cálculo de las empresas y filtrar datos confidenciales....".
Por ejemplo, algunas de las credenciales necesarias para acceder a una base de datos estaban expuestas, lo que permitía a los atacantes descargar bases de datos completas de forma silenciosa. En algunas máquinas, los atacantes podían modificar la base de datos o cifrarla con ransomware.
Según los informes, otra información filtrada incluía hashes de contraseñas, tokens de Stripe que los atacantes podrían utilizar para vaciar cuentas de pago firmando sus transacciones en la plataforma en vivo, y tokens de Slack que podrían permitir a los atacantes leer los mensajes de Slack de una organización impactada o enviar mensajes arbitrarios a ciertos canales de la plataforma."
Debido a la naturaleza sensible de los muchos datos que la IA puede aprovechar para calcular los resultados, el acceso a un marco de tan amplio alcance podría ser significativo.
Activos afectados
Según el NVD, este problema afecta a Anyscale Ray 2.6.3 y 2.8.0.
CensysEl Equipo de Respuesta Rápida pudo identificar los Ray Dashboards expuestos. Las versiones no estaban disponibles para determinar públicamente debido a la naturaleza del activo. A continuación se muestran las consultas de los cuadros de mando de rayos de Anyscale expuestos al público y observados recientemente en nuestros escaneos. Los propietarios de estos activos tendrán que realizar análisis adicionales para determinar las versiones y asegurarse de que sus grupos de Ray están protegidos dentro de un entorno de red controlado.
Censys ASM Nombre del riesgo
"Panel de Rayo Anyscale Expuesto"
Censys Los clientes de ASM verán este riesgo aplicado a los activos afectados en sus espacios de trabajo. Aquellos que se hayan suscrito a la alerta de riesgos automatizada de respuesta rápida serán contactados directamente en relación con los activos afectados.
Censys Consulta ASM Esta consulta se comparte para los clientes que desean refinar o alterar el versionado para operaciones personalizadas.
Censys Consultas de búsqueda se comparten directamente con los clientes de Censys . Si desea obtener la consulta Censys para identificar instancias globales relacionadas con este problema, o necesita ayuda, póngase en contacto con nosotros.
Recomendaciones
de Anyscale no son concluyentes en lo que respecta a sus Ray Dashboards, ya que sostienen que la mayoría de los problemas relacionados con estos activos no son realmente vulnerabilidades. Sin embargo, mencionan que los "errores" de los CVE -2023-6019, 6020, 6021 y 48023 forman parte de la versión 2.8.1 de Ray. Los propietarios de activos deben actualizar a la versión más reciente de Ray. El último CVE-2023-48022 no se abordará en este momento, según el anuncio de Anyscale.
Si necesita ayuda para identificar positivamente estos activos, háganoslo saber.
