# ShadowRay ## Descrição ShadowRay foi uma campanha de exploração ativa documentada pela Oligo Security em março de 2024, com atividade rastreada desde setembro de 2023 até março de 2024. A campanha explorou a CVE-2023-48022 - uma vulnerabilidade no framework de computação distribuída de AI Ray (Anyscale) - , tornando-se o primeiro caso documentado de cargas de trabalho de inteligência artificial sendo ativamente exploradas in the wild por meio de vulnerabilidades em infraestrutura de AI. O Ray é amplamente utilizado para training e deployment de modelos de machine learning em escala, utilizado por empresas como OpenAI, Spotify, LinkedIn e AWS. A vulnerabilidade CVE-2023-48022 - contestada pelo fornecedor Anyscale, que mantém que o Ray não é projetado para exposição pública - permite a qualquer atacante que possa acessar o dashboard do Ray (por padrão sem autenticação, porta 8265) executar comandos arbitrários como jobs no cluster Ray, acessar dados sensíveis em processamento, roubar credenciais de cloud (AWS, GCP, Azure) disponíveis no ambiente, e fazer hijacking de recursos computacionais ([[t1496-001-compute-hijacking|T1496.001]]). A campanha comprometeu instâncias Ray expostas na internet nos setores de educação, criptomoedas e biopharma, utilizando o acesso para cryptomining, roubo de credenciais de cloud e potencial acesso a modelos e dados de AI proprietários. A ausência de patch oficial torna a mitigação dependente de isolamento de rede e controles de acesso. ## Impacto A campanha resultou em hijacking de recursos computacionais de alto custo (GPUs para training de AI), roubo de credenciais de cloud com acesso a dados sensíveis, e potencial exposição de modelos proprietários e dados de training. Dado o custo significativo de clusters de GPU para AI (centenas a milhares de dólares por hora), o impacto financeiro do cryptomining em clusters comprometidos foi substancial. ## Relevância LATAM/Brasil O Brasil tem um ecossistema crescente de startups e empresas de AI que utilizam frameworks como Ray para workloads de machine learning. Universidades brasileiras com clusters de GPU para pesquisa e empresas de fintech e agtech com modelos de AI proprietários devem garantir que instâncias Ray não estejam expostas públicamente sem autenticação. A lição central da ShadowRay é que infraestrutura de AI/ML representa uma nova superfície de ataque que muitas equipes de segurança ainda não monitoram adequadamente. ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1003-008-etcpasswd-and-etcshadow|T1003.008 - /etc/passwd and /etc/shadow]] - [[t1546-004-unix-shell-configuration-modification|T1546.004 - Unix Shell Configuration Modification]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-006-python|T1059.006 - Python]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] --- *Fonte: [MITRE ATT&CK - C0045](https://attack.mitre.org/campaigns/C0045)*