SAPwned: vulnerabilidad de IA en SAP expone entornos en la nube y datos personales de clientes

 (wiz.io)
1 puntos por GN⁺ 2024-07-19 | 1 comentarios | Compartir por WhatsApp

¿Existe un problema de aislamiento en la IA?

Resumen

El equipo de investigación de Wiz estudió problemas de aislamiento entre tenants en varios proveedores de servicios de IA. A medida que la infraestructura de IA se vuelve un componente esencial en muchos entornos empresariales, el impacto de estos ataques sigue creciendo. Los resultados de la investigación se presentarán en la conferencia Black Hat.

Investigación sobre SAP AI Core

SAP AI Core está integrado con HANA y otros servicios en la nube, y puede acceder a datos internos de los clientes. El equipo de investigación quiso verificar si un actor malicioso podía acceder a estos secretos de los clientes. Como resultado, lograron ejecutar un modelo de IA malicioso y un procedimiento de entrenamiento para acceder a archivos secretos de clientes y a sus entornos en la nube.

Principales vulnerabilidades

  • Se podían leer y modificar imágenes Docker en el registro interno de contenedores de SAP
  • Se podían leer y modificar imágenes Docker de SAP en Google Container Registry
  • Se podían leer y modificar artefactos en el servidor interno de Artifactory de SAP
  • Se podían obtener privilegios de administrador del clúster en el clúster de Kubernetes de SAP AI Core
  • Se podía acceder a credenciales de nube de clientes y a artefactos privados de IA

Detalles de las vulnerabilidades

Evasión de restricciones de red

Mediante la configuración shareProcessNamespace y runAsUser en un Pod, se podía acceder a la configuración del proxy de Istio. Esto permitía evadir las restricciones de tráfico de la red interna.

Exposición de tokens AWS en el servidor Loki

A través del endpoint /config del servidor Grafana Loki, se podía acceder a secretos de AWS. Esto permitía acceder a logs del servicio AI Core y de los Pods de clientes.

Recurso compartido EFS sin autenticación

Una instancia de AWS Elastic File System (EFS) estaba configurada como pública por defecto, por lo que era posible ver archivos sin credenciales. Esto permitía acceder a grandes volúmenes de datos de IA.

Servidor Helm sin autenticación

A través de la interfaz gRPC del servidor Helm, se podía acceder a secretos del Docker Registry y del servidor Artifactory de SAP. Esto permitía leer y modificar imágenes internas y builds.

Exposición del clúster K8s

Mediante el comando install del servidor Helm, era posible obtener privilegios de administrador del clúster. Esto permitía acceder a Pods de otros clientes y robar datos sensibles.

Conclusión

La investigación sobre SAP AI Core muestra la importancia de la defensa en profundidad. Considerar que la red interna es confiable puede ser riesgoso. Se necesitan salvaguardas adecuadas para resolver los desafíos únicos que surgen durante el proceso de I+D en IA.

Resumen de GN⁺

  • El problema de aislamiento entre tenants en la infraestructura de IA es un tema de seguridad importante.
  • Las vulnerabilidades de SAP AI Core permiten que actores maliciosos accedan a datos secretos de clientes.
  • Los hallazgos subrayan la necesidad de mejorar los estándares de aislamiento y sandboxing al ejecutar modelos de IA.
  • Otros proyectos con funcionalidades similares incluyen Google AI Platform y Microsoft Azure Machine Learning.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-07-19
Opiniones de Hacker News
  • Parece ser más un problema de vulnerabilidad en la configuración de k8s que un problema del producto de IA
  • SAP necesita una revisión exhaustiva de por qué la investigación de Wiz no fue bloqueada antes de obtener privilegios de administrador del clúster
    • Me pregunto si SAP recibió alertas sobre esta actividad y si las investigó correctamente
    • Me pregunto si SAP cumple con las normas que exigen proporcionar alertas adecuadas sobre actividad de red sospechosa, y si esta investigación podría demostrar que no cumplieron con esas normas
  • Me impacta que siga ejecutándose una instancia de Tiller, que está en desuso desde 2020
  • Esperar garantías sólidas de multitenencia en un solo clúster de K8s es una muy mala idea
    • Los principales servicios en la nube usan límites de VM y clústeres de K8s separados entre clientes
    • Microsoft también tuvo un problema similar hace algunos años en un producto funcional donde se esperaba que K8s fuera el principal límite de seguridad
  • Me pregunto si alguien ha usado Wiz
    • Podría ser uno de los casos de crecimiento más rápido para una empresa de software corporativo
    • Alcanzó $100M en 1.5 años
    • Alcanzó $350M al final del tercer año
  • Creo que las empresas que se infiltran en redes sin autorización para encontrar vulnerabilidades y crear contenido para blogs deberían ser procesadas
    • Este texto suena como una publicación agresiva disfrazada de divulgación de vulnerabilidades
    • La frase "gracias por su cooperación" suena un poco coercitiva
  • Me alegra haber convencido a la empresa de ejecutar el pentest anual del producto en el entorno de producción
    • Aunque se enfoca en productos o sistemas específicos, todo está dentro del alcance
    • La primera prueba está en curso y todavía nadie se ha quejado
  • Me pregunto si esto debe leerse como que los datos de la cuenta de un cliente quedaron expuestos al mismo cliente
    • La excepción son algunos logs
  • Como investigador de seguridad, deberían haber sabido que pixelar texto para censurarlo no es una buena decisión