人気の人工知能フレームワーク Ray AI で7ヶ月間パッチされていない脆弱性が発見

セキュリティメディア「Hackread」によると、 Ray AI というフレームワークの脆弱性を狙うキャンペーンが見つかったそうです。問題の脆弱性はCVE-2023-48022であり、これをエクスプロイトするのに成功した攻撃者は資源の奪取、暗号通貨の採掘、データの奪取などの悪性行為を実施できるようになります。教育、金融、医療など、様々の分野で数千の組織から被害が把握されているそうです。このキャンペーンを発見したのは「Oligo」という研究団体で、当該キャンペーンにShadowRayという名前を付けて追跡しています。

Ray AI はオープンソース人工知能フレームワークで、人工知能技術を導入しようとする多くの企業で活用しています。Amazon、Uber、Netflix等の大手企業が代表的なユーザーです。この脆弱性は既に7ヶ月の間に活発なエクスプロイト攻撃に露出されていたことも調査されました。

Ray AI についてOlilgoの関係者は、「 Ray AI を使用している企業であればネットワークとIT網の全般にかけた調査を実施しなければなりません。もう攻撃者が侵入し、入ってある可能性も少なくありません。彼らは資源を奪取するために密かに動くので、あまり目立ちなかったはずです。」と加えました。