Se ha descubierto que miles de servidores están siendo hackeados en un ataque dirigido al framework de IA de Ray. Este framework, utilizado por empresas como OpenAI, Uber y Amazon, ha sido objeto de ataques activos durante al menos siete meses. Los expertos en seguridad han identificado una vulnerabilidad en Ray que ha permitido a los atacantes comprometer los servidores y acceder a datos sensibles, así como utilizarlos para la minería ilícita de criptomonedas. En este artículo, exploraremos en detalle los detalles de este ataque sin precedentes y discutiremos las implicaciones para las empresas afectadas.

La vulnerabilidad en Ray

La vulnerabilidad que ha permitido este ataque se conoce como CVE-2023-48022 y ha sido calificada con una gravedad crítica de 9.8 de 10 según el sistema de puntuación CVSS. Esta vulnerabilidad se encuentra en la API de envío de trabajos de Ray, que permite a los usuarios enviar comandos a los servidores que ejecutan el marco de IA. La falla radica en la falta de autenticación en esta API, lo que ha permitido a los atacantes acceder a los servidores comprometidos y realizar una variedad de acciones maliciosas.

Ataques en curso

Los ataques dirigidos a la vulnerabilidad en Ray han estado ocurriendo durante al menos siete meses, y se estima que miles de servidores han sido comprometidos en todo el mundo. Los atacantes han utilizado esta vulnerabilidad para acceder a datos sensibles, robar credenciales y realizar minería de criptomonedas en los servidores comprometidos. Además, han instalado "reverse shells" en los servidores, lo que les permite controlarlos de forma remota.

Impacto en las empresas afectadas

Las empresas afectadas por este ataque se han enfrentado a graves consecuencias. Los atacantes han tenido acceso a datos confidenciales, como contraseñas, claves SSH y credenciales de bases de datos. Esto ha llevado a la filtración de información sensible y ha dejado a las empresas expuestas a posibles ataques de ransomware. Además, los atacantes han utilizado los servidores comprometidos para llevar a cabo la minería de criptomonedas, lo que ha resultado en un uso indebido de los recursos de cómputo de las empresas afectadas.

Respuesta de Anyscale

Anyscale, la empresa responsable del desarrollo y mantenimiento de Ray, ha respondido a estos ataques disputando la clasificación de CVE-2023-48022 como una vulnerabilidad. Según Anyscale, esta falta de autenticación en la API de envío de trabajos es una decisión de diseño basada en la forma en que se establecen los límites de seguridad de Ray. Sin embargo, la empresa ha reconocido la importancia de implementar medidas adicionales de seguridad y autenticación en futuras versiones de Ray.

Recomendaciones de seguridad

Dadas las implicaciones de seguridad de este ataque, las empresas que utilizan Ray deben tomar medidas inmediatas para proteger sus servidores. Algunas recomendaciones clave incluyen:

1. Actualizar a la última versión de Ray que aborde las vulnerabilidades conocidas.

2. Implementar autenticación adicional y medidas de seguridad en la API de envío de trabajos de Ray.

3. Monitorear de cerca los servidores en busca de actividad sospechosa y anomalías en el uso de recursos.

4. Realizar copias de seguridad regulares de los datos y sistemas críticos.

5. Capacitar a los empleados sobre las mejores prácticas de seguridad cibernética y promover una cultura de seguridad en toda la organización.

El ataque en curso dirigido al framework de IA de Ray ha puesto de manifiesto la importancia de la seguridad en el desarrollo y implementación de tecnologías de inteligencia artificial. Miles de servidores han sido comprometidos, lo que ha llevado a la filtración de datos sensibles y al uso indebido de los recursos de cómputo de las empresas afectadas. Es crucial que las organizaciones tomen medidas inmediatas para abordar esta vulnerabilidad y fortalecer la seguridad de sus sistemas. Solo a través de una combinación de medidas técnicas y concienciación de seguridad se puede mitigar el riesgo de futuros ataques similares.