- Straalclusters blijven kwetsbaar voor uitvoering van code op afstand via niet-geverifieerde Jobs API
- Bedreigingsgroep “IronErn440” maakt misbruik van kwetsbaarheid met door AI gegenereerde payloads en zet XMRig cryptojacker in
- Er zijn ruim 230.000 Ray-servers online beschikbaar, tegen een paar duizend in 2023
Straalclusters, nog steeds kwetsbaar voor een kritieke tekortkoming die jaren geleden werd ontdekt, worden gebruikt voor cryptocurrency-mining, data-exfiltratie en zelfs Distributed Denial of Service (DDoS)-aanvallen, waarschuwen experts.
Cybersecurity-onderzoekers Oligo beweren dat dit de tweede grote campagne is om dezelfde fout te benutten.
Ray is een open source-netwerk waarmee Python-programma’s sneller kunnen worden uitgevoerd door het werk over meerdere machines te decentraliseren en te distribueren. De clusters zijn groepen computers – één hoofdknooppunt en meerdere werkknooppunten – die samenwerken om Ray-taken en werklasten op een gedistribueerde en gecoördineerde manier uit te voeren.
XMRig implementeren en verbergen
In 2023 werd ontdekt dat Ray 2.6.3 en 2.8.0 een kwetsbaarheid bevatten waardoor een aanvaller op afstand willekeurige code kon uitvoeren via de taakverzendings-API. Anyscale, het bedrijf achter het product, heeft het echter niet gerepareerd, omdat het is ontworpen om te draaien in een “strikt gecontroleerde netwerkomgeving”.
Met andere woorden: het is aan de gebruikers om hun infrastructuur te beveiligen en ervoor te zorgen dat de fout niet wordt misbruikt.
Maar misbruikt, dat was het wel. Ten eerste tussen september 2023 en maart 2024, en vandaag. Oligo zegt dat bedreigingsactoren, gevolgd als “IronErn440”, nu door AI gegenereerde payloads gebruiken om kwetsbare clusters te infiltreren. Door gebruik te maken van de bug verzenden de aanvallers taken naar de niet-geverifieerde Jobs API, waarbij meertraps Bash- en Python-payloads worden uitgevoerd die worden gehost op GitHub en GitLab.
Deze payloads zetten malware op de apparaten in, meestal de beruchte XMRig-cryptojacker. Hoewel deze cryptojacker meestal gemakkelijk te herkennen is (aangezien hij 100% van de verwerkingskracht van het apparaat in beslag neemt en hem voor vrijwel al het andere onbruikbaar maakt), probeerden de aanvallers dit probleem te omzeilen door hem vast te zetten op 60% van de verwerkingskracht.
Tegenwoordig zijn er meer dan 230.000 Ray-servers blootgesteld aan het internet, waarschuwden de onderzoekers, en zeiden dat hun aantal aanzienlijk groeide vergeleken met slechts “een paar duizend” die beschikbaar waren toen de kwetsbaarheid voor het eerst werd ontdekt.
Via BleepingComputer
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
