# CVE-2023-48022 > [!critical] RCE sem autenticação no Ray AI Framework - campanha ShadowRay compromete infraestrutura de IA > O framework Ray de computação distribuída para IA não tem autenticação no dashboard por design. A campanha **ShadowRay** explorou esta falta de controle para comprometer clusters Ray expostos, roubar credenciais de modelos de IA e implantar cryptominers e backdoors. ## Visão Geral A [[cve-2023-48022|CVE-2023-48022]] documenta a ausência de autenticação no dashboard e na API REST do Ray, o popular framework open-source de computação distribuída para machine learning e IA (usado por empresas como OpenAI, Uber e Amazon). Por design, o Ray não implementa autenticação por padrão, e instâncias expostas à internet permitem execução arbitrária de código Python em todos os workers do cluster. A campanha [[shadowray|ShadowRay]], descoberta pela Oligo Security em 2024, demonstrou exploração ativa e em escala de clusters Ray expostos: atacantes executavam comandos para exfiltrar credenciais de serviços de IA (Anthropic, OpenAI, Hugging Face), roubar modelos proprietários, implantar cryptominers e estabelecer backdoors persistentes em infraestrutura de produção de IA. Para o ecossistema de IA e ML crescente no Brasil e LATAM, esta vulnerabilidade é especialmente relevante. Startups e empresas que executam cargas de trabalho Ray em ambientes cloud sem isolamento de rede adequado correm risco de comprometimento e roubo de propriedade intelectual - incluindo modelos treinados com dados sensíveis. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 9.8 (Critical) | | **Tipo** | Missing Authentication (por design) | | **Produto** | Ray (Anyscale) | | **Porta padrão** | 8265 (dashboard), 10001 (client), 6379 (Redis) | | **Patch** | Não há patch - requer configuração adequada | | **Status** | Disputed (Anyscale considera comportamento esperado) | ## Campanha ShadowRay - O que os atacantes fizeram Oligo Security documentou clusters comprometidos onde atacantes: - Exfiltraram variáveis de ambiente com API keys (OpenAI, Anthropic, Hugging Face) - Executaram cryptominers XMRig em workers com GPU - Implantaram reverse shells para acesso persistente - Roubaram arquivos de modelo (.pkl, .pt, .safetensors) - Modificaram scripts de training para envenenar modelos **TTPs relacionados:** [[t1190-exploit-public-facing-application|T1190]] · [[t1552-001-credentials-in-files|T1552.001]] · [[t1496-resource-hijacking|T1496]] · [[t1059-006-python|T1059.006]] ## Detecção e Defesa **Mitigação imediata:** - NUNCA expor portas Ray (8265, 10001, 6379) à internet pública - Implementar autenticação via proxy reverso (nginx + auth básica/OAuth) - Usar firewalls e security groups para restringir acesso ao cluster Ray - Auditar variáveis de ambiente em ambientes Ray por API keys expostas **Configuração segura:** ```bash # Configurar Ray com autenticação no dashboard ray start --head --dashboard-host=127.0.0.1 # bind apenas local ``` **Mitigações MITRE:** [[m1030-network-segmentation|M1030]] · [[m1035-limit-access-to-resource-over-network|M1035]] · [[m1047-audit|M1047]] > [!latam] Relevância LATAM > Com o boom de IA no Brasil (centros de dados da AWS/Azure/GCP crescendo em SP e RJ), clusters Ray mal configurados em ambientes cloud são alvos atrativos. Startups de IA e equipes de ML em grandes empresas brasileiras devem verificar urgentemente a exposição de seus clusters Ray. ## Referências - [Oligo Security - ShadowRay Campaign](https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild) - [BleepingComputer - ShadowRay](https://www.bleepingcomputer.com/news/security/shadowray-attack-targets-ai-infrastructure-in-unprecedented-campaign/)