SK-CERT Bezpečnostné varovanie V20240328-03

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
 9.8
Identifikátor
Ray framework – tri kritické bezpečnostné zraniteľnosti
Popis
Bezpečnostní výskumníci zverejnili informácie o kritických bezpečnostných zraniteľnostiach v open-source frameworku Ray od spoločnosti Anyscale.
Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2023-48022 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.
Zneužitím ostatných bezpečnostných zraniteľností možno vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
26.3.2024
CVE
CVE-2023-6019, CVE-2023-6020, CVE-2023-6021, CVE-2023-48023, CVE-2023-48022
IOC
IP adresa: 23.146.184[.]38
IP adresa: 54.176.108[.]174
IP adresa: 158.247.217[.]90
IP adresa: 206.189.156[.]69
Doména: clo4q41v1v85ed814bogstepb5jwkbxtj.oast[.]fun
Doména: bore[.]pub
Doména: xna.2miners[.]com
Doména: kryptex[.]network
Doména: zeph.kryptex[.]network
Doména: pool.hashvault[.]pro
Doména: zephyr.miningocean[.]org
Doména: rx.unmineable[.]com
VirusTotal Hash: 98f0bf732ebae8f3ba250c02e02a0787a68039caa484e688e0391343eaf0b527
MD5 Hash: f3636232ed136fed658521682f6fa9f4
SHA1 Hash: 8d53ade3599ca39d9ad22d9360834514e9a6c6dc
Email: fintagixgames[at]gmail[.]com
ZEPHYR Wallet Address: ZEPHYR3KfKQNQrfBwHtsEWyuLn1nzXvjAraxAVBuoKrKFHn3pgtqLqX96h3sWa5kP4Y2i48a4RZnbBQoivU6dQCcFTyTHDofzW55
Zasiahnuté systémy
Ray framework vo verzii staršej ako 2.8.1
Následky
Vykonanie škodlivého kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Odporúčania
Administrátorom a používateľom odporúčame vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Pre bezpečnostnú zraniteľnosť s identifikátorom CVE-2023-48022 výrobca neplánuje vydať bezpečnostnú záplatu, nakoľko možnosť vzdialeného spustenia kódu považuje za funkciu a odporúča zraniteľnosť mitigovať bezpečným nastavením vývojového prostredia. Pre správne použite Ray frameworku odporúčame postupovať podľa pokynov výrobcu uvedených na webovej adrese:
https://docs.ray.io/en/latest/ray-security/index.html#best-practices
Zdroje
https://docs.ray.io/en/latest/ray-security/index.html#best-practices
https://www.anyscale.com/blog/update-on-ray-cves-cve-2023-6019-cve-2023-6020-cve-2023-6021-cve-2023-48022-cve-2023-48023
https://www.bleepingcomputer.com/news/security/hackers-exploit-ray-framework-flaw-to-breach-servers-hijack-resources/
https://nvd.nist.gov/vuln/detail/CVE-2023-48022
https://nvd.nist.gov/vuln/detail/CVE-2023-6021
https://nvd.nist.gov/vuln/detail/CVE-2023-48023
https://nvd.nist.gov/vuln/detail/CVE-2023-6020
https://nvd.nist.gov/vuln/detail/CVE-2023-6019
https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy