কৃত্রিম বুদ্ধিমত্তা এবং মেশিন লার্নিং ওয়ার্কলোড স্কেল করার জন্য ওপেন সোর্স ফ্রেমওয়ার্ক রে ব্যবহার করে এমন সংস্থাগুলি প্রযুক্তিতে এখনও অপ্রতিরোধ্য দুর্বলতার ত্রয়ী মাধ্যমে আক্রমণের মুখোমুখি হয়, গবেষকরা এই সপ্তাহে বলেছেন।
সম্ভাব্য ভারী ক্ষতি
দুর্বলতাগুলি আক্রমণকারীদের একটি উপায় দেয়, অন্যান্য জিনিসগুলির মধ্যে, একটি রে ক্লাস্টারের সমস্ত নোডগুলিতে অপারেটিং সিস্টেম অ্যাক্সেস লাভ করে, দূরবর্তী কোড কার্যকর করতে সক্ষম করে এবং বিশেষাধিকারগুলি বৃদ্ধি করে৷ ত্রুটিগুলি এমন সংস্থাগুলির জন্য একটি হুমকি উপস্থাপন করে যেগুলি তাদের রশ্মির উদাহরণগুলি ইন্টারনেট বা এমনকি একটি স্থানীয় নেটওয়ার্কে প্রকাশ করে৷
বিশপ ফক্সের গবেষকরা দুর্বলতা আবিষ্কার করেছে এবং সেগুলি Anyscale-এ রিপোর্ট করেছে — যেটি প্রযুক্তির সম্পূর্ণরূপে পরিচালিত সংস্করণ বিক্রি করে — আগস্টে। নিরাপত্তা বিক্রেতা Protect AI-এর গবেষকরাও ব্যক্তিগতভাবে Anyscale-এর কাছে একই রকম দুটি দুর্বলতার কথা জানিয়েছেন।
তবে এখনও পর্যন্ত, অ্যানিস্কেল ত্রুটিগুলি সমাধান করেনি, বিশপ ফক্সের সিনিয়র নিরাপত্তা পরামর্শদাতা বেরেনিস ফ্লোরেস গার্সিয়া বলেছেন। "তাদের অবস্থান হল দুর্বলতাগুলি অপ্রাসঙ্গিক কারণ রে একটি কঠোরভাবে নিয়ন্ত্রিত নেটওয়ার্ক পরিবেশের বাইরে ব্যবহারের উদ্দেশ্যে নয় এবং দাবি করে যে এটি তাদের ডকুমেন্টেশনে বলা হয়েছে," গার্সিয়া বলেছেন।
Anyscale মন্তব্যের জন্য একটি ডার্ক রিডিং অনুরোধের সাথে সাথে সাড়া দেয়নি।
রে একটি প্রযুক্তি যা প্রতিষ্ঠানগুলি ব্যবহার করতে পারে৷ জটিল, অবকাঠামো-নিবিড় AI এর সম্পাদন বিতরণ করুন এবং মেশিন লার্নিং কাজের চাপ। অনেক বড় প্রতিষ্ঠান (OpenAI, Spotify, Uber, Netflix, এবং Instacart সহ) বর্তমানে স্কেলযোগ্য নতুন এআই এবং মেশিন লার্নিং অ্যাপ্লিকেশন তৈরির জন্য প্রযুক্তি ব্যবহার করে। আমাজনের AWS রে একীভূত করেছে এর অনেকগুলি ক্লাউড পরিষেবাতে এবং এটিকে প্রযুক্তি হিসাবে স্থান দিয়েছে যা সংস্থাগুলি AI এবং ML অ্যাপগুলির স্কেলিংকে ত্বরান্বিত করতে ব্যবহার করতে পারে৷
খুঁজে পাওয়া এবং শোষণ করা সহজ
বিশপ ফক্স অ্যানিস্কেলকে যে দুর্বলতাগুলি রিপোর্ট করেছে তা রে ড্যাশবোর্ড, রে ক্লায়েন্ট এবং সম্ভাব্য অন্যান্য উপাদানগুলিতে অনুপযুক্ত প্রমাণীকরণ এবং ইনপুট বৈধতা সম্পর্কিত। দুর্বলতাগুলি Ray সংস্করণ 2.6.3 এবং 2.8.0 কে প্রভাবিত করে এবং আক্রমণকারীদের একটি রে ক্লাস্টারে সংরক্ষিত যেকোন ডেটা, স্ক্রিপ্ট বা ফাইলগুলি পাওয়ার উপায় দেয়৷ "যদি রে ফ্রেমওয়ার্ক ক্লাউডে (অর্থাৎ, AWS) ইনস্টল করা থাকে তবে এটি অত্যন্ত সুবিধাপ্রাপ্ত IAM শংসাপত্রগুলি পুনরুদ্ধার করা সম্ভব যা বিশেষাধিকার বৃদ্ধির অনুমতি দেয়," বিশপ ফক্স তার প্রতিবেদনে বলেছে৷
বিশপ ফক্স অ্যানিস্কেলকে যে তিনটি দুর্বলতা রিপোর্ট করেছেন তা হল CVE-2023-48023, একটি রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা একটি গুরুত্বপূর্ণ ফাংশনের জন্য অনুপস্থিত প্রমাণীকরণের সাথে সংযুক্ত; জন্য CVE-2023-48022, রে ড্যাশবোর্ড API-এ একটি সার্ভার-সাইড অনুরোধ জালিয়াতি দুর্বলতা যা RCE সক্ষম করে; এবং CVE-2023-6021, একটি অনিরাপদ ইনপুট যাচাইকরণ ত্রুটি যা একটি দূরবর্তী আক্রমণকারীকে একটি প্রভাবিত সিস্টেমে দূষিত কোড কার্যকর করতে সক্ষম করে।
তিনটি দুর্বলতার বিষয়ে বিশপ ফক্সের প্রতিবেদনে বিশদ বিবরণ অন্তর্ভুক্ত ছিল যে কীভাবে একজন আক্রমণকারী স্বেচ্ছাচারী কোড চালানোর জন্য সম্ভাব্য ত্রুটিগুলিকে কাজে লাগাতে পারে।
দুর্বলতাগুলিকে কাজে লাগানো সহজ, এবং আক্রমণকারীদের তাদের সুবিধা নেওয়ার জন্য উচ্চ স্তরের প্রযুক্তিগত দক্ষতার প্রয়োজন হয় না, গার্সিয়া বলেছেন। "একজন আক্রমণকারীর শুধুমাত্র দুর্বল কম্পোনেন্ট পোর্ট - পোর্ট 8265 এবং 10001 ডিফল্টভাবে - ইন্টারনেট বা স্থানীয় নেটওয়ার্ক থেকে দূরবর্তী অ্যাক্সেস প্রয়োজন," এবং কিছু মৌলিক পাইথন জ্ঞান, সে বলে।
“রে ড্যাশবোর্ড UI উন্মুক্ত হলে দুর্বল উপাদানগুলি খুঁজে পাওয়া খুব সহজ। এটি উপদেষ্টার অন্তর্ভুক্ত তিনটি দুর্বলতাকে কাজে লাগানোর গেট, "তিনি যোগ করেন। গার্সিয়ার মতে, যদি রে ড্যাশবোর্ডটি সনাক্ত না করা হয়, তবে ঝুঁকিপূর্ণ পোর্টগুলি সনাক্ত করতে পরিষেবা পোর্টগুলির আরও নির্দিষ্ট ফিঙ্গারপ্রিন্টের প্রয়োজন হবে। "একবার দুর্বল উপাদানগুলি চিহ্নিত করা হলে, উপদেষ্টার পদক্ষেপগুলি অনুসরণ করে তাদের ব্যবহার করা খুব সহজ," গার্সিয়া বলেছেন।
বিশপ ফক্সের উপদেশ দেখায় যে কীভাবে একজন আক্রমণকারী একটি AWS ক্লাউড অ্যাকাউন্ট থেকে একটি ব্যক্তিগত কী এবং অত্যন্ত সুবিধাপ্রাপ্ত শংসাপত্রগুলি পেতে দুর্বলতাগুলিকে কাজে লাগাতে পারে যেখানে রে ইনস্টল করা আছে৷ কিন্তু ত্রুটিগুলি ইন্টারনেট বা স্থানীয় নেটওয়ার্কে সফ্টওয়্যারটি প্রকাশ করে এমন সমস্ত সংস্থাকে প্রভাবিত করে৷
নিয়ন্ত্রিত নেটওয়ার্ক পরিবেশ
যদিও Anycase ডার্ক রিডিং-এ সাড়া দেয়নি, কোম্পানির ডকুমেন্টেশন একটি নিয়ন্ত্রিত নেটওয়ার্ক পরিবেশে রে ক্লাস্টার স্থাপন করার জন্য সংস্থাগুলির প্রয়োজনীয়তা উল্লেখ করে। "রে একটি নিরাপদ নেটওয়ার্ক পরিবেশে চলার এবং বিশ্বস্ত কোডের উপর কাজ করার আশা করে," ডকুমেন্টেশনে বলা হয়েছে। এটি রে উপাদানগুলির মধ্যে নেটওয়ার্ক ট্র্যাফিক একটি বিচ্ছিন্ন পরিবেশে ঘটবে তা নিশ্চিত করার জন্য এবং অতিরিক্ত পরিষেবাগুলি অ্যাক্সেস করার সময় কঠোর নেটওয়ার্ক নিয়ন্ত্রণ এবং প্রমাণীকরণ প্রক্রিয়া থাকা সংস্থাগুলির প্রয়োজনীয়তার উল্লেখ করে।
"রে বিশ্বস্ততার সাথে এটিকে পাস করা কোডটি কার্যকর করে — রে একটি টিউনিং পরীক্ষা, একটি রুটকিট ইনস্টল, বা একটি S3 বালতি পরিদর্শনের মধ্যে পার্থক্য করে না," কোম্পানি উল্লেখ করেছে৷ "রে ডেভেলপাররা এই বোঝার কথা মাথায় রেখে তাদের অ্যাপ্লিকেশন তৈরি করার জন্য দায়ী।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/researchers-discover-trio-of-critical-vulns-in-ray-open-source-framework-for-scaling-ai-ml-workloads
