शोधकर्ताओं ने इस सप्ताह कहा कि कृत्रिम बुद्धिमत्ता और मशीन लर्निंग वर्कलोड को बढ़ाने के लिए ओपन सोर्स फ्रेमवर्क रे का उपयोग करने वाले संगठन, प्रौद्योगिकी में अभी तक अप्रकाशित कमजोरियों की तिकड़ी के माध्यम से हमलों के संपर्क में हैं।

संभावित भारी क्षति

कमजोरियाँ हमलावरों को अन्य चीजों के अलावा, रे क्लस्टर में सभी नोड्स तक ऑपरेटिंग सिस्टम पहुंच प्राप्त करने, रिमोट कोड निष्पादन को सक्षम करने और विशेषाधिकारों को बढ़ाने का एक तरीका देती हैं। ये खामियाँ उन संगठनों के लिए खतरा पैदा करती हैं जो अपने रे इंस्टेंसेस को इंटरनेट या यहां तक ​​कि स्थानीय नेटवर्क पर उजागर करते हैं।

बिशप फॉक्स के शोधकर्ता कमजोरियों का पता लगाया और उन्हें अगस्त में एनीस्केल को रिपोर्ट किया - जो प्रौद्योगिकी का पूर्ण रूप से प्रबंधित संस्करण बेचता है। सुरक्षा विक्रेता प्रोटेक्ट एआई के शोधकर्ताओं ने भी पहले एनीस्केल को निजी तौर पर ऐसी ही दो कमजोरियों की सूचना दी थी।

बिशप फॉक्स के वरिष्ठ सुरक्षा सलाहकार बेरेनिस फ्लोरेस गार्सिया कहते हैं, लेकिन अभी तक, एनीस्केल ने खामियों पर ध्यान नहीं दिया है। गार्सिया का कहना है, "उनकी स्थिति यह है कि कमजोरियां अप्रासंगिक हैं क्योंकि रे को कड़ाई से नियंत्रित नेटवर्क वातावरण के बाहर उपयोग करने का इरादा नहीं है और यह उनके दस्तावेज़ में कहा गया है।"

एनीस्केल ने टिप्पणी के लिए डार्क रीडिंग के अनुरोध का तुरंत जवाब नहीं दिया।

रे एक ऐसी तकनीक है जिसका उपयोग संगठन कर सकते हैं जटिल, बुनियादी ढांचे-गहन एआई के निष्पादन को वितरित करें और मशीन लर्निंग कार्यभार। कई बड़े संगठन (OpenAI, Spotify, Uber, Netflix और Instacart सहित) वर्तमान में स्केलेबल नए AI और मशीन लर्निंग एप्लिकेशन बनाने के लिए तकनीक का उपयोग करते हैं। अमेज़न का AWS ने रे को एकीकृत किया है अपनी कई क्लाउड सेवाओं में और इसे ऐसी तकनीक के रूप में स्थापित किया है जिसका उपयोग संगठन एआई और एमएल ऐप्स की स्केलिंग में तेजी लाने के लिए कर सकते हैं।

ढूंढना और दोहन करना आसान

बिशप फॉक्स ने एनीस्केल को जो कमजोरियाँ बताईं, वे रे डैशबोर्ड, रे क्लाइंट और संभावित रूप से अन्य घटकों में अनुचित प्रमाणीकरण और इनपुट सत्यापन से संबंधित हैं। कमजोरियाँ रे संस्करण 2.6.3 और 2.8.0 को प्रभावित करती हैं और हमलावरों को रे क्लस्टर में संग्रहीत किसी भी डेटा, स्क्रिप्ट या फ़ाइलों को प्राप्त करने का एक तरीका प्रदान करती हैं। बिशप फॉक्स ने अपनी रिपोर्ट में कहा, "यदि रे फ्रेमवर्क क्लाउड (यानी, एडब्ल्यूएस) में स्थापित है, तो अत्यधिक विशेषाधिकार प्राप्त आईएएम क्रेडेंशियल्स को पुनः प्राप्त करना संभव है जो विशेषाधिकार वृद्धि की अनुमति देते हैं।"

बिशप फॉक्स ने एनीस्केल को जो तीन कमजोरियां बताईं, वे हैं CVE-2023-48023, एक महत्वपूर्ण फ़ंक्शन के लिए गुम प्रमाणीकरण से जुड़ी रिमोट कोड निष्पादन (आरसीई) भेद्यता; CVE-2023-48022, रे डैशबोर्ड एपीआई में एक सर्वर-साइड अनुरोध जालसाजी भेद्यता जो आरसीई को सक्षम बनाता है; और CVE-2023-6021, एक असुरक्षित इनपुट सत्यापन त्रुटि जो एक दूरस्थ हमलावर को प्रभावित सिस्टम पर दुर्भावनापूर्ण कोड निष्पादित करने में भी सक्षम बनाती है।

तीन कमजोरियों पर बिशप फॉक्स की रिपोर्ट में यह विवरण शामिल था कि कैसे एक हमलावर संभावित रूप से मनमाने कोड को निष्पादित करने के लिए खामियों का फायदा उठा सकता है।

गार्सिया का कहना है कि कमजोरियों का फायदा उठाना आसान है और हमलावरों को उनका फायदा उठाने के लिए उच्च स्तर के तकनीकी कौशल की आवश्यकता नहीं होती है। वह कहती हैं, "एक हमलावर को केवल कमजोर घटक पोर्ट - डिफ़ॉल्ट रूप से पोर्ट 8265 और 10001 - इंटरनेट या स्थानीय नेटवर्क से रिमोट एक्सेस की आवश्यकता होती है," और कुछ बुनियादी पायथन ज्ञान की आवश्यकता होती है।

“यदि रे डैशबोर्ड यूआई उजागर हो जाए तो कमजोर घटकों को ढूंढना बहुत आसान है। यह सलाह में शामिल तीन कमजोरियों का फायदा उठाने का द्वार है,'' वह आगे कहती हैं। गार्सिया के अनुसार, यदि रे डैशबोर्ड का पता नहीं चलता है, तो कमजोर बंदरगाहों की पहचान करने के लिए सेवा बंदरगाहों के अधिक विशिष्ट फिंगरप्रिंट की आवश्यकता होगी। गार्सिया का कहना है, "एक बार जब कमजोर घटकों की पहचान हो जाती है, तो सलाह के चरणों का पालन करके उनका शोषण करना बहुत आसान हो जाता है।"

बिशप फॉक्स की सलाह से पता चलता है कि कैसे एक हमलावर AWS क्लाउड खाते जहां रे स्थापित है, से निजी कुंजी और अत्यधिक विशेषाधिकार प्राप्त क्रेडेंशियल प्राप्त करने के लिए कमजोरियों का फायदा उठा सकता है। लेकिन खामियाँ उन सभी संगठनों को प्रभावित करती हैं जो सॉफ़्टवेयर को इंटरनेट या स्थानीय नेटवर्क पर प्रदर्शित करते हैं।

नियंत्रित नेटवर्क वातावरण

हालांकि एनीकेस ने डार्क रीडिंग पर कोई प्रतिक्रिया नहीं दी कंपनी का दस्तावेज़ीकरण नियंत्रित नेटवर्क वातावरण में रे क्लस्टर को तैनात करने के लिए संगठनों की आवश्यकता बताई गई है। दस्तावेज़ में कहा गया है, "रे एक सुरक्षित नेटवर्क वातावरण में चलने और विश्वसनीय कोड पर कार्य करने की उम्मीद करता है।" इसमें यह सुनिश्चित करने के लिए संगठनों की आवश्यकता का उल्लेख किया गया है कि रे घटकों के बीच नेटवर्क ट्रैफ़िक एक अलग वातावरण में होता है और अतिरिक्त सेवाओं तक पहुंचने पर सख्त नेटवर्क नियंत्रण और प्रमाणीकरण तंत्र होते हैं।

कंपनी ने कहा, "रे उसे भेजे गए कोड को ईमानदारी से निष्पादित करता है - रे ट्यूनिंग प्रयोग, रूटकिट इंस्टाल या एस3 बकेट निरीक्षण के बीच अंतर नहीं करता है।" "रे डेवलपर्स इस समझ को ध्यान में रखते हुए अपने एप्लिकेशन बनाने के लिए जिम्मेदार हैं।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads