- Ray-Cluster bleiben anfällig für Remote-Codeausführung über nicht authentifizierte Jobs-API
- Die Bedrohungsgruppe „IronErn440“ nutzt einen Fehler bei KI-generierten Nutzlasten aus und setzt den Kryptojacker XMRig ein
- Über 230.000 Ray-Server sind online offengelegt, gegenüber einigen Tausend im Jahr 2023
Ray-Cluster, die immer noch anfällig für einen vor Jahren entdeckten kritischen Fehler sind, werden für das Kryptowährungs-Mining, die Datenexfiltration und sogar DDoS-Angriffe (Distributed Denial of Service) verwendet, warnen Experten.
Die Cybersicherheitsforscher Oligo behaupten, dies sei die zweite große Kampagne, die denselben Fehler ausnutze.
Ray ist ein Open-Source-Netzwerk, das dazu beiträgt, Python-Programme schneller auszuführen, indem es die Arbeit dezentralisiert und auf mehrere Computer verteilt. Seine Cluster sind Gruppen von Computern – ein Hauptknoten und mehrere Worker-Knoten – die zusammenarbeiten, um Ray-Aufgaben und -Workloads verteilt und koordiniert auszuführen.
XMRig bereitstellen und ausblenden
Bereits im Jahr 2023 wurde entdeckt, dass Ray 2.6.3 und 2.8.0 eine Schwachstelle aufwiesen, die es einem Remote-Angreifer ermöglichte, beliebigen Code über die Job-Übermittlungs-API auszuführen. Allerdings hat Anyscale, das Unternehmen hinter dem Produkt, das Problem nicht behoben, da es für die Ausführung in einer „streng kontrollierten Netzwerkumgebung“ konzipiert ist.
Mit anderen Worten: Es liegt an den Benutzern, ihre Infrastruktur zu sichern und sicherzustellen, dass die Schwachstelle nicht ausgenutzt wird.
Aber es wurde missbraucht. Erstens zwischen September 2023 und März 2024 und heute. Oligo sagt, dass als „IronErn440“ verfolgte Bedrohungsakteure jetzt KI-generierte Nutzlasten verwenden, um anfällige Cluster zu infiltrieren. Indem sie den Fehler ausnutzen, übermitteln die Angreifer Jobs an eine nicht authentifizierte Jobs-API und führen mehrstufige Bash- und Python-Payloads aus, die auf GitHub und GitLab gehostet werden.
Diese Payloads verteilen Malware auf die Geräte – normalerweise den berüchtigten XMRig-Kryptojacker. Während dieser Kryptojacker normalerweise leicht zu erkennen ist (da er 100 % der Rechenleistung des Geräts beansprucht und es für praktisch alles andere unbrauchbar macht), versuchten die Angreifer, dieses Problem zu umgehen, indem sie es auf 60 % der Rechenleistung beschränkten.
Heute seien mehr als 230.000 Ray-Server im Internet verfügbar, warnten die Forscher und sagten, dass ihre Zahl erheblich gestiegen sei, verglichen mit nur „einigen Tausend“, die verfügbar waren, als die Schwachstelle erstmals entdeckt wurde.
Über BleepingComputer
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
