ShadowRay 2.0:僵屍網絡的威脅
研究人員目前正在追蹤一個名為 ShadowRay 2.0 的自我複製僵屍網絡活動。此活動專門針對面向互聯網的 Ray 叢集,這是一種用於運行人工智慧和其他工作負載的開源分佈式計算框架。攻擊者利用一個兩年前的未修補漏洞(CVE-2023-48022),來控制暴露的叢集。
攻擊方式與影響
此惡意軟體利用暴露的 Ray 儀表板來提交未經身份驗證的任務,從而使其能夠在全球範圍內自動擴散。受感染的機器除了用於密碼挖礦和數據竊取外,還被用來發起針對外部網站和基礎設施的 DDoS 攻擊。
技術細節
Oligo Security 的研究人員描述了攻擊者如何利用 Ray 的編排功能來轉移到叢集中的其他節點並傳播惡意軟體。此活動已在全球範圍內針對多個組織,其中運行昂貴 GPU 的叢集尤為受影響。
"攻擊者已將合法的叢集管理功能轉變為自我傳播的工具,"研究人員表示。被攻陷的系統能夠在各節點間運行任務、建立反向 shell 並保持持久性,同時將 CPU 使用率維持在 60% 以下以避免被檢測到。
防範措施
儘管 GitLab 和 GitHub 上的下架行動,該活動仍在繼續,顯示出其自動化的特性。超過 230,000 個 Ray 叢集在線暴露,攻擊面廣泛。
防範措施包括:
- 限制對 Ray 儀表板的訪問
- 實施防火牆規則
- 增加身份驗證
Anyscale, Ray 的原始開發者,提供了一個 Ray 開放端口檢查器來幫助識別暴露的叢集。
未來展望
ShadowRay 2.0 展示了配置不當的計算叢集如何被大規模用於 DDoS 攻擊。運行 Ray 的組織應假設暴露的儀表板將自動成為此自我複製僵屍網絡的目標。
關於 FastNetMon
FastNetMon 是領先的網絡安全解決方案,提供先進的 DDoS 檢測和緩解功能。通過實時分析和快速響應能力,FastNetMon 幫助組織保護基礎設施免受不斷演變的網絡威脅。
如需更多信息,請訪問 FastNetMon 官方網站。