Pesquisadores de segurança cibernética descobriram deficiências de segurança na plataforma baseada em nuvem SAP AI Core para criar e implementar fluxos de trabalho de inteligência synthetic (IA) preditiva que podem ser exploradas para obter tokens de acesso e dados de clientes.
As cinco vulnerabilidades foram coletivamente denominadas Seiva pela empresa de segurança em nuvem Wiz.
“As vulnerabilidades que encontramos podem ter permitido que invasores acessassem dados de clientes e contaminassem artefatos internos, espalhando-se para serviços relacionados e ambientes de outros clientes”, disse o pesquisador de segurança Hillai Ben-Sasson em um relatório compartilhado com o The Hacker Information.
Após a divulgação responsável em 25 de janeiro de 2024, as fraquezas foram corrigidas pela SAP em 15 de maio de 2024.
Em poucas palavras, as falhas possibilitam obter acesso não autorizado a artefatos e credenciais privadas de clientes em ambientes de nuvem como Amazon Net Companies (AWS), Microsoft Azure e SAP HANA Cloud.
Eles também podem ser usados para modificar imagens do Docker no registro de contêineres interno da SAP, imagens do Docker da SAP no Registro de Contêineres do Google e artefatos hospedados no servidor Artifactory interno da SAP, resultando em um ataque à cadeia de suprimentos nos serviços SAP AI Core.
Além disso, o acesso poderia ser transformado em arma para obter privilégios de administrador de cluster no cluster Kubernetes do SAP AI Core, aproveitando o fato de que o servidor gerenciador de pacotes Helm estava exposto a operações de leitura e gravação.
“Usando esse nível de acesso, um invasor pode acessar diretamente os Pods de outros clientes e roubar dados confidenciais, como modelos, conjuntos de dados e código”, explicou Ben-Sasson. “Esse acesso também permite que invasores interfiram nos Pods dos clientes, contaminem dados de IA e manipulem a inferência dos modelos.”
Wiz disse que os problemas surgem porque a plataforma torna possível executar modelos de IA maliciosos e procedimentos de treinamento sem mecanismos adequados de isolamento e sandbox.
Como resultado, um agente de ameaça poderia criar um aplicativo de IA common no SAP AI Core, ignorar restrições de rede e sondar a rede interna do Kubernetes Pod para obter tokens da AWS e acessar o código do cliente e conjuntos de dados de treinamento explorando configurações incorretas em compartilhamentos do AWS Elastic File System (EFS).
“O treinamento de IA requer a execução de código arbitrário por definição; portanto, proteções apropriadas devem ser implementadas para garantir que o código não confiável seja devidamente separado dos ativos internos e outros inquilinos”, disse Ben-Sasson.
As descobertas foram feitas no momento em que a Netskope revelou que o uso crescente de IA generativa por empresas levou as organizações a usar controles de bloqueio, ferramentas de prevenção de perda de dados (DLP), treinamento em tempo actual e outros mecanismos para mitigar riscos.
“Dados regulamentados (dados que as organizações têm o dever authorized de proteger) representam mais de um terço dos dados confidenciais compartilhados com aplicativos de IA generativa (genAI), apresentando um risco potencial para as empresas de violações de dados dispendiosas”, disse a empresa.
Eles também acompanham o surgimento de um novo grupo de ameaças cibercriminosas chamado NullBulge, que tem mirado entidades focadas em IA e jogos desde abril de 2024 com o objetivo de roubar dados confidenciais e vender chaves de API OpenAI comprometidas em fóruns clandestinos, enquanto afirma ser uma equipe de hacktivistas “protegendo artistas ao redor do mundo” contra IA.
“O NullBulge tem como alvo a cadeia de suprimentos de software program ao transformar códigos em repositórios disponíveis publicamente no GitHub e no Hugging Face, levando as vítimas a importar bibliotecas maliciosas ou por meio de pacotes de mods usados por softwares de jogos e modelagem”, disse o pesquisador de segurança da SentinelOne, Jim Walter.
“O grupo usa ferramentas como AsyncRAT e XWorm antes de entregar payloads LockBit construídos usando o construtor LockBit Black vazado. Grupos como NullBulge representam a ameaça contínua de ransomware de baixa barreira de entrada, combinado com o efeito perene de infecções por ladrões de informações.”
