从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:ShadowRay 2. 漏洞类型:Open-source Python framework for scaling production AI workflows 3. 漏洞描述: - Ray的Job API允许任意远程执行。 - 默认配置可能将集群暴露给互联网。 - 研究人员发现Ray集群至少在过去七个月中被积极利用。 - 攻击者可以利用受害组织的计算能力窃取有价值的信息。 - 研究人员估计被窃取的机器价值接近10亿美元。 4. 漏洞影响: - Ray缺乏身份验证,被认为是设计决策。 - Ray被设计为在安全网络环境中部署。 - 第五个漏洞CVE-2023-48022存在争议。 5. 漏洞利用: - 攻击者可以扫描公共IP地址以识别托管Ray仪表板的系统。 - 攻击者可以收集未加密的凭证。 - 攻击者可以利用反向shell在脆弱的集群上执行任意代码。 - 攻击者可以利用HuggingFace令牌替换受害组织的模型。 6. 财务危害: - 攻击者可以对受害组织造成财务危害。 - 窃取的凭证可以用于耗尽信用或窃取账户。 - GPU云资源本身是昂贵的。 7. 参考来源: - ShadowRay: First Known Attack Campaign Targeting AI Workloads Actively Exploited In The Wild - ShadowRay: AI Infrastructure Is Being Exploited In the Wild - CVE-2023-48022 - Anyscale Update on CVEs 这些信息提供了关于ShadowRay漏洞的详细描述,包括其利用方式、影响和参考来源。