网络安全公司 Bishop Fox 警告称，人工智能开源计算框架 Ray 中的一个严重漏洞可能允许对所有节点进行未经授权的访问。

该错误的编号为 CVE-2023-48023，其存在是因为 Ray 未在其至少两个组件（即仪表板和客户端）上正确强制执行身份验证。

远程攻击者可以利用此问题在未经身份验证的情况下提交或删除作业。此外， Bishop Fox 表示，攻击者还可以检索敏感信息并执行任意代码。

该网络安全公司指出：“该漏洞可被利用来获得对 Ray 集群中所有节点的操作系统访问权限，或尝试检索 Ray EC2 实例凭证（在典型的 AWS 云安装中）。”

CVE-2023-48023 的根源在于，在默认配置中，Ray 不强制执行身份验证，并且似乎不支持任何类型的授权模型，尽管框架文档中描述了可选的相互 TLS 身份验证模式。

“换句话说，即使 Ray 管理员明确启用了 TLS 身份验证，他们也无法授予用户不同的权限，例如对 Ray 仪表板的只读访问权限，”Bishop Fox 说。

据该网络安全公司称，攻击者可以通过作业提交 API 提交任意操作系统命令来利用 CVE-2023-48023。

Ray 缺乏身份验证导致其他安全漏洞，包括最近由 Protect AI 披露的问题，该公司管理 Huntr（人工智能和机器学习的错误赏金平台）。

Bishop Fox 表示，它独立发现了其中两个问题，并与 Protect AI 大约同时向 Ray 的维护者 (Anyscale) 报告。

该网络安全公司表示：“然而，根据 Anyscale 的立场，未经身份验证的远程代码执行是故意的，因此不应被视为漏洞，因此关闭了这些报告。”

此外，该公司表示，Ray jobs Python SDK 可用于未经身份验证的远程代码执行，方法是编写恶意脚本，使用 Ray API 提交任务。Ray 客户端 API 还可能被滥用于未经身份验证的远程代码执行。

Bishop Fox 还提请注意 Ray 中的其他严重漏洞，包括 Protect AI 报告的服务器端请求伪造 (SSRF) 错误 (CVE-2023-48022) 和不安全输入验证缺陷 (CVE-2023-6021)今年夏天给供应商的。

该网络安全公司指出，至少其中一些问题仍未得到修补，因为供应商要么不承认它们是安全缺陷，要么不想解决它们。