- Kluster Ray tetap rentan terhadap eksekusi kode jarak jauh melalui Jobs API yang tidak diautentikasi
- Kelompok ancaman “IronErn440” mengeksploitasi kelemahan muatan yang dihasilkan AI dan menerapkan cryptojacker XMRig
- Lebih dari 230.000 server Ray terekspos secara online, naik dari beberapa ribu pada tahun 2023
Cluster Ray, yang masih rentan terhadap kelemahan kritis yang ditemukan beberapa tahun lalu, digunakan untuk penambangan mata uang kripto, eksfiltrasi data, dan bahkan Penolakan Layanan Terdistribusi (DDoS) serangan, para ahli telah memperingatkan.
Peneliti keamanan siber Oligo mengklaim ini adalah kampanye besar kedua yang memanfaatkan kelemahan yang sama.
Ray adalah seorang sumber terbuka jaringan yang membantu berjalan ular piton program lebih cepat dengan mendesentralisasikan dan mendistribusikan pekerjaan ke beberapa mesin. Clusternya adalah sekelompok komputer – satu node kepala dan beberapa node pekerja – yang bekerja sama untuk menjalankan tugas dan beban kerja Ray secara terdistribusi dan terkoordinasi.
Menyebarkan dan menyembunyikan XMRig
Pada tahun 2023, ditemukan bahwa Ray 2.6.3 dan 2.8.0 membawa kerentanan yang memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer melalui API pengiriman pekerjaan. Namun Anyscale, perusahaan di balik produk tersebut, tidak memperbaikinya karena dirancang untuk berjalan di “lingkungan jaringan yang dikontrol secara ketat”.
Dengan kata lain – pengguna harus mengamankan infrastrukturnya dan memastikan kelemahannya tidak disalahgunakan.
Tapi disalahgunakan. Pertama, antara September 2023 hingga Maret 2024, dan hari ini. Oligo mengatakan bahwa pelaku ancaman yang dilacak sebagai “IronErn440” kini menggunakan muatan yang dihasilkan AI untuk menyusup ke kelompok yang rentan. Dengan memanfaatkan bug tersebut, penyerang mengirimkan pekerjaan ke Jobs API yang tidak diautentikasi, menjalankan payload Bash dan Python multi-tahap yang dihosting di GitHub dan GitLab.
Muatan ini disebarkan perangkat lunak perusak ke perangkat – biasanya cryptojacker XMRig yang terkenal. Meskipun cryptojacker ini biasanya mudah terlihat (karena memakan 100% daya pemrosesan perangkat dan membuatnya tidak berguna untuk melakukan banyak hal lainnya), para penyerang mencoba mengatasi masalah ini dengan menguncinya hingga 60% daya pemrosesan.
Saat ini, terdapat lebih dari 230.000 server Ray yang terekspos ke internet, para peneliti memperingatkan, dan mengatakan bahwa jumlah mereka meningkat secara signifikan dibandingkan dengan hanya “beberapa ribu” yang tersedia ketika kerentanan pertama kali ditemukan.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
