Critical Ray AI Flaw Exposes Devs via Safari & Firefox (CVE-2025-62593)

漏洞概述

在Ray框架中发现了一个严重的远程代码执行（RCE）漏洞，使得AI和Python开发者面临系统被入侵的风险。该漏洞编号为CVE-2025-62593，它利用了Ray处理本地API请求中的一个缺陷，允许攻击者通过恶意网站或广告在开发者的机器上执行任意代码。

此攻击向量专门针对Safari和Firefox的用户。Google Chrome用户目前免疫——但这并非因为其安全性更高，而是由于Chrome中存在一个阻止了该特定利用方法的错误。

技术背景与缺陷

Ray是一个用于扩展机器学习工作负载的流行开源框架。开发者通常在本地运行它，它会监听8265等端口上的命令。历史上，Ray团队选择不对关键的本地端点（如/api/jobs）实施身份验证，而是依赖检查请求的User-Agent标头。如果标头以“Mozilla”开头，Ray会假定请求来自浏览器并阻止它，以防止跨站攻击。

然而，安全研究人员发现这种防御措施是不充分的。Firefox和Safari中的fetch API都允许通过编程方式修改User-Agent标头。攻击者通过将此行为与DNS重绑定攻击相结合，可以绕过此检查。DNS重绑定会诱骗受害者的浏览器将远程攻击者控制的服务器与本地Ray实例视为同一来源。这会将开发者自己的浏览器变成一个“混乱代理人”，允许攻击者向本地Ray仪表板发送授权命令。

该漏洞机制由@avilum（Oligo）提出理论，完整的概念验证（PoC）和披露由@JLLeitschuh（Socket）提供。

攻击场景：从广告到shell访问

• 诱饵：运行本地Ray实例的开发者访问托管恶意广告（恶意广告）的网站或点击了钓鱼链接。
• 重绑定：恶意页面使用工具（如nccgroup/singularity）执行DNS重绑定攻击，诱使浏览器与localhost:8265通信。
• 载荷：由于攻击者可以在Safari/Firefox中伪造User-Agent，Ray仪表板会接受请求。漏洞利用通过/api/jobs端点提交一个包含shell代码的作业。
• 影响：恶意代码在开发者的机器上执行。在概念验证中，这仅仅是弹出一个计算器，但在实际攻击中，它可以授予完整的shell访问权限或允许横向移动到企业网络。

修复措施与建议

Ray项目已在版本2.52.0中发布了修复程序。强烈建议开发者立即更新到此版本或更高版本。

• 新的安全功能：版本2.52.0引入了基于令牌的身份验证功能。虽然当前默认禁用，但启用它可为防御此类漏洞提供一个关键的保护层。
• 浏览器加固：虽然一些浏览器（如Chrome的本地网络访问控制）正在实施针对DNS重绑定的防御，但这些功能在过去并不一致或已被回退。更新Ray应用程序仍然是唯一可靠的修复方法。

相关文章

• AI-Generated Malware Attacks 230,000 Exposed Ray AI Clusters in Massive ShadowRay 2.0 Botnet Campaign
• Report: 496 million IoT devices are vulnerable to DNS Rebinding Attack
• Blizzard Games exisits critical flaw that conduct DNS Rebinding attack
• Critical Flaw CVE-2025-59159 (CVSS 9.7) in SillyTavern Allows Full Remote Control of Local AI Instances