ShadowRay 2.0 rappresenta una nuova, preoccupante evoluzione delle minacce informatiche nel campo dell’intelligenza artificiale e del cloud computing. Questa campagna di attacco sfrutta una vulnerabilità critica irrisolta nella piattaforma open source Ray, ampiamente utilizzata per orchestrare applicazioni AI e workload su cluster di GPU, in particolare con hardware NVIDIA. La falla, identificata come CVE-2023-48022 con un punteggio di gravità di 9.8, consiste nell’assenza di autenticazione sull’API di job submission, permettendo a un attaccante di inviare comandi arbitrari e prendere il controllo delle risorse di calcolo.
Caratteristiche dell’attacco
L’attacco ShadowRay 2.0 si distingue per la capacità di trasformare cluster vulnerabili in botnet auto-propaganti, impiegate per il mining illecito di criptovalute tramite XMRig e per condurre attacchi DDoS. I cybercriminali inviano job malevoli che eseguono payload complessi, spesso distribuiti attraverso GitLab e GitHub, sfruttando repository creati ad hoc con nomi ingannevoli. Questi payload permettono sia l’infezione autonoma di nuovi cluster Ray sia la persistenza grazie all’installazione di cron job che recuperano periodicamente il malware, rendendo difficile la bonifica dei sistemi compromessi.
Per massimizzare i guadagni, il malware elimina eventuali miner concorrenti già presenti sulla macchina e si camuffa come processo legittimo di sistema, riducendo anche l’uso della CPU per non destare sospetti. Un aspetto interessante è la possibile automazione del codice malevolo mediante l’uso di modelli linguistici LLM, come suggerito dall’analisi della struttura e dei commenti del codice stesso.
Superficie di attacco e diffusione
La portata dell’attacco è accentuata dal fatto che molti amministratori espongono i dashboard Ray su internet, contro le raccomandazioni degli sviluppatori che suggeriscono invece un deployment in reti isolate. Secondo le analisi, oltre 230 mila server Ray risultano pubblicamente accessibili, ampliando enormemente la superficie di attacco.
Strumenti di mitigazione e impatti
Il team di sviluppo di Ray ha rilasciato strumenti come il Ray Open Ports Checker per aiutare gli operatori a verificare la corretta configurazione dei cluster, ma la mitigazione richiede anche l’implementazione di firewall e l’aggiunta di livelli di autenticazione. Inoltre, i server compromessi sono stati utilizzati anche per attacchi sockstress, un tool per l’esaurimento di stato TCP, suggerendo che la botnet viene affittata per servizi DDoS o usata per eliminare la concorrenza tra pool di mining.
La vicenda ShadowRay 2.0 sottolinea l’importanza di una corretta configurazione e della segmentazione delle reti per proteggere infrastrutture AI e cloud, in un contesto dove la convergenza tra AI, cloud e cybercrime si fa sempre più concreta.