Küberturvalisus

Tehisintellekti taristu turvamine enne, kui NadMesh tühjendab teie pilvekontod

NadMesh robotvõrk ründab avatud AI-teenuseid nagu ComfyUI ja Ollama, et varastada AWS-i võtmeid ja Kubernetes-i tokeneid. Kaitske oma pilvetaristut kohe.
Tehisintellekti taristu turvamine enne, kui NadMesh tühjendab teie pilvekontod

Mitme miljoni dollari suurune ettevõtte kaitsestrateegia variseb sageli kokku üheainsa autentimata konteineri raskuse all. Nägin seda oma silmaga eelnevas kvartalis, auditeerides uurimislaborit, mis oli kulutanud kuus kuud oma Kubernetes-i klastrite turvamiseks, kuid jättis ComfyUI instantsi nädalavahetuse demoks avatuks. See üksik avatud port 8188 oli piisav, et mööda minna igast kehtestatud võrgupoliitikast. 2026. aasta juuli alguses avastatud NadMesh robotvõrk elutseb täpselt selles tühimikus, mis jääb ettevõtte turvastandardite ja AI juurutamise meeletu tempo vahele.

NadMesh on Go-põhine pahavara perekond, mis seab identiteedi prioriteediks toore arvutusvõimsuse ees. Kui varasemad robotvõrgud keskendusid GPU-de kaaperdamisele Monero kaevandamiseks, siis NadMeshi operaatorid mõistavad, et varastatud AWS-i saladus on väärtuslikum kui paar tuhat räsi sekundis. QiAnXin-i XLab avaldas reedel aruande, milles kirjeldatakse üksikasjalikult, kuidas see robotvõrk jahib pildigeneraatoreid, kohalikke mudelijooksutajaid ja töövoo koostajaid, mida insenerimeeskonnad püstitavad kiiresti ja mille tulemüüriga kaitsmisega hilinevad.

AI kullapalaviku arhitektuurne hind

Kaasaegses AI juurutamises valitseb põhiline paradoks. Organisatsioonid investeerivad tohutult pilve IAM-rollidesse ja krüpteeritud salvestusruumi, kuid lubavad arendajatel käitada autentimata tööriistu nagu Ollama või n8n otse avalikus internetis. NadMesh kasutab seda takistuste puudumist ära. Robotvõrk kasutab Shodan-i kogujat, et hoida oma skaneerimisjärjekord täidetuna sihtmärkidega, mis käitavad ComfyUI-d, Open WebUI-d, Langflow-d ja Gradiot. Need on kaasaegse AI-tehnoloogia virna tööriistad ja neid turvatakse karbist väljas harva.

Analüüsisin hiljuti andmehaaret, kus arendaja juurutas uue mudeli testimiseks Marimo märkmiku. Nad ignoreerisid turvahoiatusi, sest vajasid seda vaid tunniks. Kahekümne minuti jooksul oli NadMesh-i bot skaneerinud IP-aadressi, tuvastanud teenuse ja üritanud seda ära kasutada. See kiirus on võimalik, kuna robotvõrk kohtleb internetti nagu otsitavat andmebaasi, mitte kui tohutut territooriumi, kus rännata. Edukaid tabamusi andvaid alamvõrke kontrollitakse uuesti iga viie minuti järel. Kui sihtmärk märgistatakse ohtlikuks, naaseb robotvõrk iga viieteistkümne minuti järel, et sooritada esmalt kõrge prioriteediga skaneerimine AI-spetsiifilistele portidele.

Kuidas koguja järjekorda toidab

Skaneerimisloogika on järjepidev. Täielik puhastus tõmbab iga viimase seitsme päeva jooksul ohtlikuks märgitud IP-aadressi tagasi järjekorra tippu. Autor teab ilmselgelt, et teadlased ja peibutusmasinad (honeypots) jälgivad. Kui sihtmärk neelab kümme juurutuskatset ilma tulemust andmata, kannab robotvõrk selle automaatselt musta nimekirja. See hoiab ära ressursside raiskamise peibutistele. Kui järjekord tühjaks saab, genereerivad botid juhusliku /24 alamvõrgu ja jätkavad jahti.

Juuli teiseks nädalaks muutus NadMesh-i levitavate unikaalsete allika-IP-de arv järsult tõusvaks. XLab registreeris arvu hüppe peaaegu nullist umbes 139-ni päevas. Operaatori enda töölaud, mis jäädvustati 10. juulil, väidab, et saagiks on 3811 unikaalset AWS-i võtit. See lahknevus väikese arvu aktiivsete bottide ja varastatud volituste tohutu hulga vahel viitab väga tõhusale automatiseerimismootorile. Operaator ei vaja massiivset robotvõrku, kui iga nakatumine annab pilvekeskkonna peavõtme.

Haavatavus mudeli kontekstiprotokolli sees

Mudeli kontekstiprotokoll (Model Context Protocol - MCP) on kontrolleri prioriteetide nimekirjas peamine vektor. MCP on standard, mis võimaldab AI-mudelitel kutsuda väliseid tööriistu ja pääseda ligi andmeallikatele. Disaini poolest jättis MCP esimene spetsifikatsioon autentimise väljapoole põhiprotokolli. Autoriseerimisvoog on olemas alates 2025. aasta märtsist, kuid spetsifikatsioon kirjeldab seda valikulisena. Paljud arendajad jätavad selle vahele, et säästa aega konfigureerimisel.

Censys loendas 2026. aasta maiks üle 21 000 kättesaadava MCP-teenuse. Umbes 90 neist reklaamis tööriista nimega execute_command. See tööriist on täpselt see kutse, mis asub NadMesh-i ründetabeli tipus. Robotvõrk kasutab selle käsu käivitamiseks JSON-RPC tools/call meetodit. Selle tegevusega ei ole seotud ühtegi CVE-d, kuna tarkvara toimib täpselt nii, nagu see on konfigureeritud. Probleem ei ole koodiveas. Probleem on protokollis, mis lubab vaikimisi autentimata käskude täitmist.

Mudeli ja identiteedi inventuur

Kui bot kompromiteerib edukalt hosti, ei paigalda see lihtsalt kaevandajat. See kataloogib keskkonna. NadMesh-i töölaua taga olev luurevoog näitab DeepSeek, GLM ja Kimi mudelite inventuure. Need inventuurid on sageli märgistatud tunnusega ":cloud". See viitab sellele, et bot vaatab kohalikust masinast kaugemale ja tuvastab, millistele kaugelasuvatele AI-teenustele hostil on juurdepääs.

See, mida bot koju saadab, on organisatsiooni identiteet. See tõmbab pilvevõtmed keskkonnamuutujatest, eraldab Kubernetes-i teenusekonto tokenid ja kraabib faili ~/.aws/config sisu. Samuti on sihikul .env failid ja ~/.docker/config.json. Teadlased on motiivi osas otsekohesed. Operaator jahib pigem pilvevolitusi ja klastri privileege kui hosti ennast. Kaasaegses arhitektuuris on host ühekordselt kasutatav kaup, kuid volitused tagavad püsiva juurdepääsu andmetasandile.

Püsivus kolmekordse liiasuse kaudu

NadMesh-i eemaldamine kompromiteeritud süsteemist on keeruline selle liigsete püsivusmehhanismide tõttu. Agent säilitab kolm eraldi viisi taaskäivitamise üleelamiseks. Kui administraator leiab ja kustutab ühe kirje, jäävad ülejäänud kaks alles, et tõmmata pahavarast uus koopia. See on nagu katse kustutada tulekahju, millel on kolm sõltumatut kütuseallikat. Iga pahavara versioon läbib ka Garble'i risustamise (obfuscation) ja UPX-pakkimise koos juhusliku täitega. See tähendab, et igal agendil on unikaalne failiräsi. Turvameeskond ei saa loota ühele räsile, et leida nakatumisi kogu oma võrgus.

Praegu on liikvel viis robotvõrgu versiooni. Kõige tavalisem on 33.8-GO-TITAN. Operaator kasutab "kanaari" lõpp-punkti, et katsetada uusi versioone väikesel osal laevastikust enne laiemat väljalaskmist. See on DevOps-i küpsusaste, mis peegeldab legitiimseid tarkvaraettevõtteid, keda nad ründavad. Operaatori edu mõõdetakse tulemuste lubatud nimekirja (allowlist) alusel, mis välistab Ollama ja AWS-i saagi. See viitab sellele, et töölaua edetabel näitab vaid murdosa kogu operatsioonist.

Kaitsemeetmed avatud perimeetri jaoks

Suurem osa sellest, mida NadMesh teeb, on suunatud administraatori funktsionaalsusele, mis on jäetud avalikus internetis kutsutavaks. See hõlmab avatud Docker API-sid pordis 2375, Jenkinsi skriptikonsoole ja autentimata Redis-i instantse. Ükski paik (patch) ei sulge neid auke, sest need on konfiguratsioonivalikud. Oma keskkonna turvamiseks peate viima need teenused autentimise taha või üldse avalikust internetist välja. Seadke prioriteediks neli porti, mille NadMesh-i uuesti skaneerimise töö esikohale seab: 8188 (ComfyUI), 11434 (Ollama), 7860 (Gradio) ja 5678 (n8n).

Samuti on olemas lühike nimekiri haavatavustest, mis vajavad kohest paikamist. CVE-2026-39987 on autentimiseelne koodi kaugkäivitamise viga Marimo märkmikes. CISA lisas selle aprillis teadaolevate ekspluateeritud haavatavuste kataloogi. CVE-2026-41176 on samuti kriitiline, kuna see võimaldab autentimata helistajatel rclone RC serverites autentimislülitit muuta. Kuna rclone'i konfiguratsioonid sisaldavad sageli pilvevolitusi, on see NadMesh-i jaoks kõrge prioriteediga sihtmärk.

Kui leiate kompromiteerimise tunnuseid, isoleerige host kohe. Otsige püsivusfaile asukohas /etc/cron.d/.sys_monitor ja peidetud faile asukohtades /dev/shm/.a või /tmp/.a. Volituste tühistamine on ainus turvaline tee edasi. Kui host on kompromiteeritud, eeldage, et iga AWS-i võti, klastri token ja .env fail, mida see puudutas, on nüüd operaatori käes. Võtmete vahetamisest ei piisa, kui pahavara on endiselt olemas, et uusi varastada. Enne asenduste väljastamist peate eemaldama püsivusmehhanismid. Auditeerige oma logisid tegevuse osas IP-aadressilt 209.99.186[.]235 või ühenduste osas domeeniga cdnorigin[.]net. Eesmärk on kontrollida, kus varastatud identiteete kasutati ajal, mil need olid aktiivsed.

Allikad: NIST Cybersecurity Framework, MITRE ATT&CK (Resource Development, Initial Access), QiAnXin XLab NadMesh Report, Censys MCP Census 2026.

Lahtiütlus: See artikkel on mõeldud ainult teavitamiseks ja harimiseks ning ei asenda professionaalset küberturbe auditit ega intsidentidele reageerimise teenust.

bg
bg
bg

Kohtumiseni teisel poolel.

Meie läbivalt krüpteeritud e-posti ja pilvesalvestuse lahendus pakub kõige võimsamaid vahendeid turvaliseks andmevahetuseks, tagades teie andmete turvalisuse ja privaatsuse.

/ Tasuta konto loomin