SAPwned: Lỗ hổng AI của SAP làm lộ môi trường đám mây và dữ liệu cá nhân của khách hàng

 (wiz.io)
1 điểm bởi GN⁺ 2024-07-19 | 1 bình luận | Chia sẻ qua WhatsApp

AI có vấn đề về cô lập không?

Tóm tắt

Nhóm nghiên cứu Wiz đã nghiên cứu các vấn đề cô lập tenant ở nhiều nhà cung cấp dịch vụ AI. Khi hạ tầng AI trở thành thành phần thiết yếu trong nhiều môi trường doanh nghiệp, tác động của các cuộc tấn công kiểu này ngày càng lớn. Kết quả nghiên cứu sẽ được trình bày tại hội nghị Black Hat.

Nghiên cứu về SAP AI Core

SAP AI Core được tích hợp với HANA và các dịch vụ đám mây khác, nên có thể truy cập dữ liệu nội bộ của khách hàng. Nhóm nghiên cứu muốn xác minh liệu tác nhân độc hại có thể truy cập các bí mật của khách hàng này hay không. Kết quả cho thấy họ có thể chạy mô hình AI và quy trình huấn luyện độc hại để truy cập các tệp bí mật của khách hàng và môi trường đám mây của họ.

Các lỗ hổng chính

  • Có thể đọc và sửa đổi các image Docker trong registry container nội bộ của SAP
  • Có thể đọc và sửa đổi các image Docker của SAP trong Google Container Registry
  • Có thể đọc và sửa đổi các artifact trên máy chủ Artifactory nội bộ của SAP
  • Có thể giành quyền quản trị cụm trên cụm Kubernetes của SAP AI Core
  • Có thể truy cập thông tin xác thực đám mây của khách hàng và các artifact AI riêng tư

Chi tiết lỗ hổng

Vượt qua hạn chế mạng

Thông qua cấu hình shareProcessNamespacerunAsUser trên Pod, có thể truy cập cấu hình của proxy Istio. Nhờ đó có thể vượt qua các giới hạn lưu lượng trong mạng nội bộ.

Lộ token AWS trên máy chủ Loki

Có thể truy cập bí mật AWS thông qua endpoint /config của máy chủ Grafana Loki. Nhờ đó có thể truy cập log của dịch vụ AI Core và Pod của khách hàng.

Chia sẻ EFS không yêu cầu xác thực

Phiên bản AWS Elastic File System (EFS) được đặt ở chế độ công khai theo mặc định, nên có thể xem tệp mà không cần thông tin xác thực. Điều này cho phép truy cập một lượng lớn dữ liệu AI.

Máy chủ Helm không yêu cầu xác thực

Thông qua giao diện gRPC của máy chủ Helm, có thể truy cập các bí mật của Docker Registry và máy chủ Artifactory của SAP. Nhờ đó có thể đọc và sửa đổi các image nội bộ và các bản build.

Lộ cụm K8s

Thông qua lệnh install của máy chủ Helm, có thể giành quyền quản trị cụm. Nhờ đó có thể truy cập Pod của khách hàng khác và đánh cắp dữ liệu nhạy cảm.

Kết luận

Nghiên cứu về SAP AI Core cho thấy tầm quan trọng của phòng thủ theo chiều sâu. Việc xem mạng nội bộ là đáng tin cậy có thể rất rủi ro. Cần có các biện pháp bảo vệ phù hợp để giải quyết những thách thức đặc thù phát sinh trong quá trình R&D AI.

Tóm tắt của GN⁺

  • Vấn đề cô lập tenant trong hạ tầng AI là một vấn đề bảo mật quan trọng.
  • Các lỗ hổng của SAP AI Core cho phép tác nhân độc hại truy cập dữ liệu bí mật của khách hàng.
  • Kết quả nghiên cứu nhấn mạnh sự cần thiết phải cải thiện các tiêu chuẩn cô lập và sandboxing khi chạy mô hình AI.
  • Các dự án khác có chức năng tương tự gồm Google AI Platform và Microsoft Azure Machine Learning.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-07-19
Ý kiến trên Hacker News
  • Đây dường như không hẳn là vấn đề của sản phẩm AI mà là vấn đề về lỗ hổng trong cấu hình k8s
  • SAP cần rà soát kỹ lưỡng vì sao nghiên cứu của Wiz không bị ngăn chặn trước khi giành được quyền quản trị cụm
    • Không rõ SAP có nhận được cảnh báo về hoạt động này hay đã điều tra đúng mức hay chưa
    • Cũng không rõ SAP có tuân thủ các quy định yêu cầu cung cấp cảnh báo thích hợp về hoạt động mạng đáng ngờ hay không, và liệu nghiên cứu này có thể cho thấy họ đã không đáp ứng các quy định đó hay không
  • Thật sốc khi một instance Tiller đã bị ngừng sử dụng từ năm 2020 vẫn đang chạy
  • Trông có vẻ là một ý tưởng rất tồi khi kỳ vọng đảm bảo multi-tenancy mạnh trên một cụm K8s duy nhất
    • Các dịch vụ đám mây lớn dùng ranh giới VM và các cụm K8s tách biệt giữa các khách hàng
    • Microsoft vài năm trước cũng gặp vấn đề tương tự ở một sản phẩm tính năng từng kỳ vọng K8s sẽ là ranh giới bảo mật chính
  • Không biết có ai từng dùng Wiz chưa
    • Có thể đây là trường hợp tăng trưởng nhanh nhất của một công ty phần mềm doanh nghiệp
    • Đạt $100M chỉ sau 1,5 năm
    • Đạt $350M vào cuối năm thứ 3
  • Tôi nghĩ các công ty xâm nhập mạng trái phép để tìm lỗ hổng rồi viết nội dung blog nên bị truy tố
    • Bài này nghe giống một bài viết mang tính công kích được ngụy trang thành công bố lỗ hổng
    • Cụm từ "cảm ơn vì sự hợp tác" nghe hơi giống một kiểu ép buộc nhẹ
  • Tôi rất vui vì đã thuyết phục được công ty cho chạy pentest hằng năm đối với sản phẩm ngay trong môi trường production
    • Dù tập trung vào một số sản phẩm hay hệ thống cụ thể, mọi thứ đều nằm trong phạm vi
    • Bài kiểm tra đầu tiên đang được chạy và vẫn chưa ai phàn nàn gì
  • Không rõ có phải dữ liệu tài khoản của khách hàng bị lộ cho chính cùng khách hàng đó hay không
    • Ngoại lệ là một số log
  • Với tư cách là một nhà nghiên cứu bảo mật, lẽ ra họ phải biết việc che nội dung bằng cách pixel hóa văn bản là một lựa chọn tệ