요약 : 보안 외신 시큐리티위크에 의하면 레이(Ray)라는 인공지능 프레임워크에서 초고위험도 취약점이 발견됐다고 한다. CVE-2023-48023로, 대시보드와 클라이언트에서의 인증 과정이 불안전하다는 것이 이 취약점의 핵심이다. 원격의 공격자가 이 부분을 공략함으로써 인증 없이 민감한 정보를 탈취하거나 임의의 코드를 실행할 수 있게 된다. 뿐만 아니라 여러 작업들을 인증 없이 삭제하는 것도 가능하다.


배경 : 레이의 디폴트 설정은 물론 그 어떤 부분에도 인증 기능을 지원하는 모습이 나타나지 않고 있아서 발생하는 것이 CVE-2023-48023이라고 보안 업체 비숍폭스(Bishop Fox)는 설명한다. 그리고 이 때문에 또 다른 취약점인 CVE-2023-6021이 야기되는데, 이 문제 역시 현재 레이 측으로 전부 제보가 된 상황이라고 한다. 하지만 레이 개발사는 CVE-2023-48023이 취약점이 아니라 의도된 것이라는 답장을 비숍폭스 측에 보내왔다고 한다.

말말말 : “의도된 것이지 취약점이라고 아니라고 개발사 측에서 주장하고 있기 때문에 현재 취약점들은 패치되지 않은 채 그대로 남아있습니다. 아마 계속 이런 상태로 유지될 것 같습니다.” -비숍폭스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>