Impact mondial (au moment de la diffusion)
- 315 hôtes touchés au niveau mondial
- 77% des hôtes affectés au niveau mondial ont une page de connexion exposée
- Trois hôtes affectés au niveau mondial avec des répertoires de fichiers exposés
Principaux pays touchés:
1. Pays-Bas
2. L'Afghanistan
3. ÉTATS-UNIS
4. Chine
5. Belgique
Résumé
Censys est conscient que le 28 novembre 2023, une vulnérabilité d'exécution de code à distance (RCE) via l'API de soumission de travail pour le framework Ray AI d'Anyscale a été publiée. À l'époque, "CVE-2023-48022 n'a pas été initialement considéré comme un risque sérieux et n'a pas été rapidement corrigé"(The Record). Le NVD indique que "la position du vendeur est que ce rapport n'est pas pertinent car Ray, comme indiqué dans sa documentation, n'est pas destiné à être utilisé en dehors d'un environnement réseau strictement contrôlé". La vulnérabilité a depuis été mise à jour et a contribué à des milliers de compromissions de serveurs Ray exposés, selon Oligo Security.
Impact
Selon The Record, "[c]ette faille permet aux attaquants de prendre le contrôle de la puissance informatique des entreprises et de faire fuir des données sensibles....".
Par exemple, certaines informations d'identification requises pour accéder à une base de données ont été exposées, ce qui a permis aux pirates de télécharger silencieusement des bases de données complètes. Sur certaines machines, les attaquants pouvaient modifier la base de données ou la chiffrer à l'aide d'un ransomware.
Les autres informations divulguées incluraient des hachages de mots de passe, des jetons Stripe que les attaquants pourraient utiliser pour vider les comptes de paiement en signant leurs transactions sur la plateforme en direct, et des jetons Slack qui pourraient permettre aux attaquants de lire les messages Slack d'une organisation touchée ou d'envoyer des messages arbitraires à certains canaux sur la plateforme."
En raison de la nature sensible des nombreux points de données que l'IA peut exploiter pour calculer les résultats, l'accès à un cadre d'une telle portée pourrait s'avérer important.
Actifs touchés
Selon la NVD, ce problème affecte Anyscale Ray 2.6.3 et 2.8.0.
CensysL'équipe de réponse rapide a pu identifier les tableaux de bord Ray exposés. Les versions n'étaient pas disponibles pour déterminer publiquement en raison de la nature de l'actif. Vous trouverez ci-dessous les requêtes concernant les tableaux de bord Anyscale Ray exposés qui sont accessibles au public et qui ont été récemment observés lors de nos analyses. Les propriétaires de ces actifs devront effectuer une analyse plus approfondie pour déterminer les versions et s'assurer que leurs clusters Ray sont sécurisés dans un environnement réseau contrôlé.
Censys Nom du risque ASM
"Tableau de bord Anyscale Ray exposé"
Censys Les clients ASM verront ce risque appliqué aux actifs concernés dans leurs espaces de travail. Ceux qui se sont inscrits au service d'alerte automatisée Rapid Response seront contactés directement pour les biens concernés.
Censys Requête ASM Cette requête est partagée par les clients qui souhaitent affiner ou modifier les versions pour des opérations personnalisées.
Censys Les requêtes de recherche sont partagées directement avec les clients de Censys . Si vous souhaitez obtenir la requête Censys pour identifier les instances globales liées à ce problème, ou si vous avez besoin d'aide, veuillez nous contacter.
Recommandations pour l’assainissement
d'Anyscale ne sont pas concluants en ce qui concerne leurs tableaux de bord Ray, car ils contestent que la plupart des problèmes concernant ces actifs ne sont pas réellement des vulnérabilités. Ils mentionnent toutefois que les "bogues" des CVE -2023-6019, 6020, 6021 et 48023 font partie de la version 2.8.1 de Ray. Les propriétaires d'actifs devraient mettre à jour vers la version la plus récente de Ray. La dernière CVE-2023-48022 ne sera pas traitée pour le moment, conformément à l'annonce d'Anyscale.
Si vous avez besoin d'aide pour identifier positivement ces actifs, n'hésitez pas à nous le faire savoir.
