SAPwned: vulnerabilidade de IA da SAP expõe ambientes em nuvem e dados pessoais de clientes

 (wiz.io)
1 pontos por GN⁺ 2024-07-19 | 1 comentários | Compartilhar no WhatsApp

Há um problema de isolamento na IA?

Resumo

A equipe de pesquisa da Wiz estudou problemas de isolamento entre tenants em vários provedores de serviços de IA. À medida que a infraestrutura de IA se torna um elemento essencial em muitos ambientes de negócios, o impacto desses ataques cresce cada vez mais. Os resultados da pesquisa serão apresentados na conferência Black Hat.

Pesquisa sobre o SAP AI Core

O SAP AI Core integra-se ao HANA e a outros serviços em nuvem, podendo acessar dados internos dos clientes. A equipe de pesquisa quis verificar se agentes maliciosos poderiam acessar esses segredos dos clientes. Como resultado, foi possível executar um modelo de IA malicioso e um processo de treinamento malicioso para acessar arquivos secretos dos clientes e seus ambientes em nuvem.

Principais vulnerabilidades

  • Foi possível ler e modificar imagens Docker no registro interno de contêineres da SAP
  • Foi possível ler e modificar imagens Docker da SAP no Google Container Registry
  • Foi possível ler e modificar artefatos no servidor interno Artifactory da SAP
  • Foi possível obter privilégios de administrador do cluster no cluster Kubernetes do SAP AI Core
  • Foi possível acessar credenciais de nuvem dos clientes e artefatos privados de IA

Detalhes das vulnerabilidades

Bypass de restrições de rede

Por meio das configurações shareProcessNamespace e runAsUser no Pod, foi possível acessar a configuração do proxy Istio. Isso permitiu contornar as restrições de tráfego da rede interna.

Exposição de token AWS no servidor Loki

Foi possível acessar segredos da AWS por meio do endpoint /config do servidor Grafana Loki. Isso permitiu acessar logs do serviço AI Core e dos Pods dos clientes.

Compartilhamento EFS sem autenticação

Uma instância do AWS Elastic File System (EFS) estava configurada como pública por padrão, permitindo visualizar arquivos sem credenciais. Isso possibilitou acessar grandes volumes de dados de IA.

Servidor Helm sem autenticação

Por meio da interface gRPC do servidor Helm, foi possível acessar segredos do Docker Registry e do servidor Artifactory da SAP. Isso permitiu ler e modificar imagens internas e builds.

Exposição do cluster K8s

Por meio do comando install do servidor Helm, foi possível obter privilégios de administrador do cluster. Isso permitiu acessar Pods de outros clientes e roubar dados sensíveis.

Conclusão

A pesquisa sobre o SAP AI Core mostra a importância da defesa em profundidade. Considerar a rede interna como confiável pode ser perigoso. São necessárias proteções adequadas para lidar com os desafios específicos que surgem no processo de P&D em IA.

Resumo do GN⁺

  • Problemas de isolamento entre tenants na infraestrutura de IA são uma questão importante de segurança.
  • As vulnerabilidades do SAP AI Core permitem que agentes maliciosos acessem dados secretos dos clientes.
  • Os resultados da pesquisa destacam a necessidade de melhorar os padrões de isolamento e sandboxing na execução de modelos de IA.
  • Outros projetos com funcionalidades semelhantes incluem Google AI Platform e Microsoft Azure Machine Learning.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-07-19
Comentários do Hacker News
  • Parece ser menos um problema do produto de IA e mais uma questão de uma configuração vulnerável de k8s
  • A SAP precisa de uma revisão completa sobre por que a pesquisa da Wiz não foi interrompida antes de obter privilégios de administrador do cluster
    • Fico me perguntando se a SAP recebeu alertas sobre essa atividade e se investigou isso adequadamente
    • Fico me perguntando se a SAP está seguindo as exigências para fornecer alertas apropriados sobre atividade suspeita na rede, e se esta pesquisa pode mostrar que ela não está cumprindo essas exigências
  • Fiquei chocado ao ver uma instância do Tiller, descontinuada desde 2020, ainda em execução
  • Esperar garantias fortes de multi-tenancy em um único cluster de K8s é uma situação muito ruim
    • Os principais serviços de nuvem usam fronteiras de VM e clusters de K8s separados entre clientes
    • A Microsoft também teve um problema parecido alguns anos atrás em um produto funcional que esperava que o K8s fosse a principal fronteira de segurança
  • Gostaria de saber se alguém já usou o Wiz
    • Pode ser o caso de crescimento mais rápido entre empresas de software corporativo
    • Atingiu $100M em 1,5 ano
    • Atingiu $350M no fim do terceiro ano
  • Acho que empresas que invadem redes sem autorização para encontrar vulnerabilidades e produzir conteúdo para blog deveriam ser processadas
    • Este texto soa como uma publicação agressiva disfarçada de divulgação de vulnerabilidade
    • A frase "agradecemos a cooperação" soa um pouco como coerção
  • Fico feliz por ter convencido a empresa a executar o pentest anual do produto em ambiente de produção
    • Ele se concentra em produtos ou sistemas específicos, mas tudo entra no escopo
    • O primeiro teste está em andamento e ninguém reclamou até agora
  • Fico me perguntando se isso deve ser lido como dados de conta de clientes sendo expostos ao próprio cliente
    • A exceção são alguns logs
  • Como pesquisador de segurança, eles já deveriam saber que pixelar texto para redigi-lo é uma má escolha