Ataque em Andamento Alvo a Estrutura Ray AI: O Primeiro Ataque em Cargas de Trabalho de IA

Recentemente, pesquisadores de segurança cibernética identificaram uma campanha de ataque massiva que comprometeu milhares de servidores que operam cargas de trabalho de Inteligência Artificial (IA). Este ataque, considerado o primeiro em campo direcionado especificamente a essas cargas, explora uma vulnerabilidade em uma estrutura de computação conhecida como Ray, usada por grandes empresas como OpenAI, Uber e Amazon. O ataque comprometeu servidores responsáveis por armazenar tanto cargas de trabalho de IA quanto credenciais de rede, criando um cenário crítico para a segurança cibernética de várias corporações.

O Ataque e Suas Implicações

Os ataques, que estão em andamento há pelo menos sete meses, levaram à adulteração de modelos de IA e à exposição de credenciais de redes internas. Isso inclui tokens que permitem acesso a contas em plataformas como OpenAI, Hugging Face, Stripe e Azure. Além de manipular os modelos de IA, os invasores conseguiram instalar mineradores de criptomoedas nos servidores comprometidos, aproveitando-se do enorme poder de computação oferecido por essa infraestrutura.

Outro ponto crítico do ataque foi a instalação de shells reversos, ferramentas que permitem aos invasores controlar os servidores remotamente, sem a necessidade de uma interface gráfica, o que torna a detecção ainda mais difícil.

Operador Kuberay em execução com permissões de administrador na API do Kubernetes.

Hashes de senha acessados.

Credenciais do banco de dados de produção.

A Vulnerabilidade na Estrutura Ray

Ray é uma estrutura de código aberto projetada para dimensionar aplicativos de IA, permitindo que grandes volumes de dados sejam processados simultaneamente em clusters de servidores. O ataque explorou especificamente a API de Jobs, uma interface que permite aos usuários enviar comandos para o cluster através de solicitações HTTP. No entanto, um fator preocupante destacado pelos pesquisadores é que, por padrão, essa API não exige autenticação, abrindo uma porta para invasores.

Em 2023, a empresa de segurança Bishop Fox identificou esse comportamento como uma vulnerabilidade de execução de código remoto, categorizada como CVE-2023-48022. Isso significa que qualquer pessoa que soubesse da vulnerabilidade poderia, potencialmente, manipular modelos de IA, roubar dados sensíveis e comprometer credenciais de redes inteiras.

A Gravidade do Comprometimento

Os pesquisadores da Oligo, empresa de segurança responsável pela detecção do ataque, descreveram a situação como um "jackpot" para os invasores. Eles relataram que, uma vez que os invasores obtêm controle sobre um cluster Ray em produção, têm acesso a dados corporativos valiosos e à capacidade de execução remota de código, o que facilita a monetização dos ataques. Este cenário torna o ataque não apenas uma ameaça direta à integridade dos modelos de IA, mas também à infraestrutura de TI de várias empresas, com implicações que podem incluir a exposição de dados confidenciais de clientes e parceiros.

A Resposta da Anyscale

Anyscale, a empresa desenvolvedora do Ray, respondeu às alegações de vulnerabilidade afirmando que o comportamento relatado não representava, de fato, uma falha de segurança. Segundo eles, a estrutura Ray foi projetada para executar código remotamente e, por isso, sempre foi aconselhado que o Ray fosse segmentado adequadamente dentro de redes protegidas.

Contudo, críticos apontaram que muitos repositórios de código, incluindo exemplos de boilerplate disponíveis publicamente, configuram o painel Ray para ficar acessível via o endereço 0.0.0.0, o que expõe diretamente os clusters à Internet, sem qualquer autenticação. Isso sugere que a vulnerabilidade pode ser mais crítica do que a Anyscale inicialmente admitiu.

Em resposta às críticas, a Anyscale anunciou que implementará um recurso futuro para reforçar a autenticação da API de Jobs, embora tenha afirmado que essa mudança não era prioritária, pois eles acreditam que a segurança deve ser focada no isolamento de rede, e não apenas na autenticação.

Ação Imediata e Mitigação

Os ataques em curso destacam a importância de uma configuração correta da estrutura Ray. A Oligo e a Anyscale forneceram orientações sobre práticas recomendadas para proteger os clusters Ray, incluindo a segmentação adequada da rede e a utilização de mecanismos de autenticação. A Oligo também publicou indicadores de comprometimento (IoCs) que os usuários podem usar para verificar se seus clusters Ray foram atacados.

A vulnerabilidade explorada neste ataque ressalta a crescente sofisticação das ameaças direcionadas a infraestruturas de IA e a necessidade de medidas proativas para proteger esses ambientes. O crescimento da IA e a sua integração em operações críticas tornam essencial que desenvolvedores e administradores de sistemas estejam atentos a possíveis vetores de ataque e adotem uma abordagem de defesa em profundidade para mitigar riscos.

Conclusão

Este ataque revela a complexidade e a gravidade das ameaças cibernéticas modernas, especialmente quando envolve tecnologias emergentes como IA. As organizações devem agir rapidamente para fortalecer suas defesas e proteger suas infraestruturas de IA contra compromissos futuros. A falta de autenticação adequada e a exposição pública de clusters representam uma falha crítica que deve ser corrigida para evitar danos maiores. A implementação de práticas de segurança robustas e a adoção de mecanismos de proteção avançados são essenciais para garantir a integridade dos modelos de IA e a segurança das redes corporativas.