{"id":3833,"date":"2024-03-30T20:23:00","date_gmt":"2024-03-31T01:23:00","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=3833"},"modified":"2024-04-02T17:21:32","modified_gmt":"2024-04-02T22:21:32","slug":"primer-ataque-conocido-dirigido-a-miles-de-servidores-de-ia","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/primer-ataque-conocido-dirigido-a-miles-de-servidores-de-ia\/","title":{"rendered":"Primer ataque dirigido a miles de servidores de IA"},"content":{"rendered":"\n

Miles de servidores que almacenan cargas de trabajo de IA y credenciales de red han sido hackeados en una campa\u00f1a de ataque en curso dirigida a una vulnerabilidad reportada en Ray, un marco inform\u00e1tico utilizado por OpenAI, Uber y Amazon.<\/strong><\/p>\n\n\n\n

Los ataques, que han estado activos durante al menos (7<\/strong>) siete meses<\/strong>, han llevado a la manipulaci\u00f3n de los modelos de IA. Tambi\u00e9n han dado lugar a que se comprometan las credenciales de la red, lo que permite el acceso a redes internas, bases de datos y tokens para acceder a cuentas en plataformas como OpenAI, Hugging Face, Stripe y Azure.<\/strong> Adem\u00e1s de corromper modelos y robar credenciales, los atacantes detr\u00e1s de la campa\u00f1a han instalado mineros de criptomonedas en una infraestructura comprometida, que generalmente proporciona cantidades masivas de potencia inform\u00e1tica. Los atacantes tambi\u00e9n han instalado shells inversos, que son interfaces basadas en texto para controlar servidores de forma remota.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

El premio gordo, la informaci\u00f3n comprometida<\/h2>\n\n\n\n

\u00abCuando los atacantes tienen en sus manos un cl\u00faster de producci\u00f3n de Ray, es un premio gordo\u00bb, escribieron en una publicaci\u00f3n<\/a> los investigadores de Oligo, la firma de seguridad que detect\u00f3 los ataques. \u00abLos valiosos datos de la empresa, adem\u00e1s de la ejecuci\u00f3n remota de c\u00f3digo, facilitan la monetizaci\u00f3n de los ataques, todo ello mientras permanecen en las sombras, totalmente indetectables (y, con las herramientas de seguridad est\u00e1ticas, indetectables)\u00bb<\/strong>.<\/p>\n\n\n\n

Entre la informaci\u00f3n confidencial comprometida se encuentran las cargas de trabajo de producci\u00f3n de IA, que permiten a los atacantes controlar o manipular los modelos durante la fase de entrenamiento y, a partir de ah\u00ed, corromper la integridad de los modelos. Los cl\u00fasteres vulnerables exponen un panel central a Internet, una configuraci\u00f3n que permite a cualquiera que lo busque ver un historial de todos los comandos introducidos hasta la fecha. Este historial permite a un intruso aprender r\u00e1pidamente c\u00f3mo funciona un modelo y a qu\u00e9 datos confidenciales tiene acceso.<\/p>\n\n\n\n

Oligo captur\u00f3 capturas de pantalla que expon\u00edan datos privados confidenciales y mostraban historiales que indicaban que los cl\u00fasteres hab\u00edan sido pirateados activamente. Los recursos comprometidos inclu\u00edan hashes de contrase\u00f1as criptogr\u00e1ficas y credenciales para bases de datos internas y cuentas en OpenAI, Stripe y Slack.<\/p>\n\n\n\n

\"\"<\/a>
Operador de Kuberay que se ejecuta con permisos de administrador en la API de Kubernetes.<\/figcaption><\/figure>\n\n\n\n
\"\"<\/a>
Hashes de contrase\u00f1a a los que se ha accedido.<\/figcaption><\/figure>\n\n\n\n
\"\"<\/a>
Credenciales de la base de datos de producci\u00f3n.<\/figcaption><\/figure>\n\n\n\n
\"\"<\/a>
Tokens para OpenAI, Stripe y Slack y credenciales de base de datos.<\/figcaption><\/figure>\n\n\n\n

Infraestructura de IA: una mina de oro para los atacantes<\/h2>\n\n\n\n

Un entorno de IA t\u00edpico contiene una gran cantidad de informaci\u00f3n confidencial, suficiente para derribar a toda una empresa. \u00bfPor qu\u00e9 un entorno de IA es un entorno tan lucrativo para los atacantes? Echemos un vistazo a los componentes y los riesgos que presentan.<\/p>\n\n\n\n

Un entorno ML-OPS consta de muchos servicios que se comunican entre s\u00ed, dentro del mismo cl\u00faster y entre cl\u00fasteres.<\/p>\n\n\n\n

Cuando se utiliza para el entrenamiento o el ajuste, suele tener acceso a conjuntos de datos y modelos, en disco o en almacenamiento remoto, como un bucket de S3. A menudo, los modelos o conjuntos de datos son la propiedad intelectual \u00fanica y privada que diferencia a una empresa de sus competidores.<\/p>\n\n\n\n

Adem\u00e1s, los entornos de IA suelen tener acceso a tokens de terceros (en un secreto legible o variable de entorno) e integraciones de muchos tipos (HuggingFace, OpenAI, WanDB y otros proveedores de SaaS).<\/p>\n\n\n\n

Los modelos de IA ahora est\u00e1n conectados a las bases de datos y gr\u00e1ficos de conocimiento de la empresa. La infraestructura de IA puede ser un \u00fanico punto de fallo para las empresas impulsadas por la IA y un tesoro escondido para los atacantes.<\/p>\n\n\n\n

Los modelos de IA suelen ejecutarse en m\u00e1quinas caras y de alta potencia, lo que hace que la potencia inform\u00e1tica que utilizan sea un objetivo principal para los atacantes.<\/p>\n\n\n\n

Que es el marco Ray ?<\/h2>\n\n\n\n

Ray es un marco de c\u00f3digo abierto para escalar aplicaciones de IA, lo que significa que permite que un gran n\u00famero de ellas se ejecuten a la vez de manera eficiente. Normalmente, estas aplicaciones se ejecutan en grandes cl\u00fasteres de servidores. La clave para que todo esto funcione es un panel central que proporciona una interfaz para mostrar y controlar las tareas y aplicaciones en ejecuci\u00f3n. Una de las interfaces de programaci\u00f3n disponibles a trav\u00e9s del panel de control, conocida como API de trabajos, permite a los usuarios enviar una lista de comandos al cl\u00faster. Los comandos se emiten mediante una simple solicitud HTTP que no requiere autenticaci\u00f3n.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Hoy en d\u00eda, Ray tiene 30 mil estrellas en GitHub<\/a>. Seg\u00fan Anyscale, algunas de las organizaciones m\u00e1s grandes del mundo utilizan Ray en producci\u00f3n, incluidas Uber, Amazon y OpenAI. <\/p>\n\n\n\n

Muchos proyectos conf\u00edan en Ray para las principales cargas de trabajo de SaaS, datos e IA, aprovechando el proyecto por sus altos niveles de escalabilidad, velocidad y eficiencia.<\/p>\n\n\n\n

Anyscale mantiene el proyecto Ray, que sirve de base para numerosas bibliotecas, como Ray Tune, Ray Serve y otras.<\/p>\n\n\n\n

\"\"
Fuente: ray.io<\/figcaption><\/figure>\n\n\n\n

Los expertos en IA NO son expertos en seguridad<\/h2>\n\n\n\n

El a\u00f1o pasado, los investigadores de la firma de seguridad Bishop Fox se\u00f1alaron el comportamiento<\/a> como una vulnerabilidad de ejecuci\u00f3n de c\u00f3digo de alta gravedad rastreada como CVE-2023-48022<\/a>.<\/p>\n\n\n\n

Los expertos en IA NO son expertos en seguridad, lo que los hace potencialmente peligrosamente inconscientes de los riesgos muy reales que plantean los marcos de IA.<\/p>\n\n\n\n

Sin autorizaci\u00f3n para la API de trabajos de Ray, la API puede estar expuesta a ataques de ejecuci\u00f3n remota de c\u00f3digo cuando no se siguen las pr\u00e1cticas recomendadas. El CVE est\u00e1 etiquetado como \u00aben disputa\u00bb: en estos casos, el Programa CVE no determina qu\u00e9 parte tiene raz\u00f3n.<\/p>\n\n\n\n

Anyscale, el desarrollador y mantenedor de Ray, respondi\u00f3\u00a0disputando la vulnerabilidad<\/a>. Los funcionarios de Anyscale dijeron que siempre han considerado a Ray como un marco para ejecutar c\u00f3digo de forma remota y, como resultado, han\u00a0aconsejado durante mucho tiempo<\/a>\u00a0que debe segmentarse adecuadamente dentro de una red debidamente segura.<\/p>\n\n\n\n

>> M\u00e1s detalles<\/strong> en nuestros canales privados de WhatsApp<\/a> <\/strong>y Telegram<\/strong><\/a>.<\/mark><\/p>\n\n\n\n

\n\n\n\n

Es muy importante que se identifiquen las vulnerabilidades en las aplicaciones antes que sean descubiertas por los actores maliciosos que aprovechan esas debilidades para realizar los ataques en b\u00fasqueda de beneficios econ\u00f3micos.<\/strong><\/p>\n\n\n\n

Tendencias de ciber seguridad para el 2024<\/a><\/p>\n\n\n\n

\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

Recibe un Diagn\u00f3stico Sin Costo <\/strong>del estado de seguridad de tu aplicaci\u00f3n o sitio web dando clic en el siguiente enlace:<\/p>\n\n\n\n

\n
Reciba Diagnostico sin Costo<\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Miles de servidores que almacenan cargas de trabajo de IA y credenciales de red han sido hackeados en una campa\u00f1a de ataque en curso dirigida a una vulnerabilidad reportada en Ray, un marco inform\u00e1tico utilizado por OpenAI, Uber y Amazon. Los ataques, que han estado activos durante al menos (7) siete meses, han llevado a…<\/p>\n","protected":false},"author":1,"featured_media":3842,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[363,53,431,429,427,430,428,91],"class_list":["post-3833","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-api","tag-ciberataque","tag-cve-2023-48022","tag-hacked","tag-ia","tag-openai","tag-ray","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3833","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=3833"}],"version-history":[{"count":12,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3833\/revisions"}],"predecessor-version":[{"id":3857,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3833\/revisions\/3857"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/3842"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=3833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=3833"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=3833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}