SAPwned : des vulnérabilités de l’IA de SAP exposent l’environnement cloud et les données personnelles des clients

 (wiz.io)
1 points par GN⁺ 2024-07-19 | 1 commentaires | Partager sur WhatsApp

L’IA a-t-elle un problème d’isolation ?

Résumé

L’équipe de recherche de Wiz a étudié les problèmes d’isolation entre tenants chez plusieurs fournisseurs de services d’IA. À mesure que l’infrastructure IA devient un élément essentiel de nombreux environnements métier, l’impact de ce type d’attaque ne cesse de croître. Les résultats de la recherche doivent être présentés lors de la conférence Black Hat.

Recherche sur SAP AI Core

SAP AI Core est intégré à HANA et à d’autres services cloud, ce qui lui permet d’accéder aux données internes des clients. L’équipe de recherche a voulu vérifier si un acteur malveillant pouvait accéder à ces secrets clients. Résultat : il était possible d’exécuter un modèle d’IA malveillant et une procédure d’entraînement afin d’accéder aux fichiers secrets des clients et à leur environnement cloud.

Principales vulnérabilités

  • Il était possible de lire et de modifier des images Docker dans le registre de conteneurs interne de SAP
  • Il était possible de lire et de modifier les images Docker de SAP dans Google Container Registry
  • Il était possible de lire et de modifier des artefacts sur le serveur Artifactory interne de SAP
  • Il était possible d’obtenir des privilèges d’administrateur du cluster sur le cluster Kubernetes de SAP AI Core
  • Il était possible d’accéder aux identifiants cloud des clients ainsi qu’à des artefacts IA privés

Détails des vulnérabilités

Contournement des restrictions réseau

Grâce aux paramètres shareProcessNamespace et runAsUser des pods, il était possible d’accéder à la configuration du proxy Istio. Cela permettait de contourner les restrictions de trafic du réseau interne.

Exposition du jeton AWS du serveur Loki

Le endpoint /config du serveur Grafana Loki permettait d’accéder à des secrets AWS. Cela permettait d’accéder aux logs du service AI Core et des pods des clients.

Partage EFS non authentifié

Une instance AWS Elastic File System (EFS) était configurée comme publique par défaut, ce qui permettait de consulter les fichiers sans identifiants. Cela permettait d’accéder à un grand volume de données IA.

Serveur Helm non authentifié

L’interface gRPC du serveur Helm permettait d’accéder aux secrets du Docker Registry et du serveur Artifactory de SAP. Cela permettait de lire et de modifier des images internes et des builds.

Exposition du cluster K8s

La commande install du serveur Helm permettait d’obtenir des privilèges d’administrateur du cluster. Cela permettait d’accéder aux pods d’autres clients et de voler des données sensibles.

Conclusion

La recherche sur SAP AI Core montre l’importance d’une défense en profondeur. Considérer le réseau interne comme fiable peut être dangereux. Des protections adaptées sont nécessaires pour répondre aux défis spécifiques qui apparaissent dans les processus de R&D en IA.

Récapitulatif de GN⁺

  • Les problèmes d’isolation entre tenants dans l’infrastructure IA constituent un enjeu de sécurité majeur.
  • Les vulnérabilités de SAP AI Core permettent à des acteurs malveillants d’accéder aux données secrètes des clients.
  • Les résultats soulignent la nécessité d’améliorer les standards d’isolation et de sandboxing lors de l’exécution de modèles d’IA.
  • D’autres projets offrant des fonctionnalités similaires incluent Google AI Platform et Microsoft Azure Machine Learning.

À lire aussi

1 commentaires

 
GN⁺ 2024-07-19
Avis Hacker News
  • Il s’agit moins d’un problème du produit d’IA que d’un problème lié à une configuration k8s vulnérable
  • SAP doit procéder à un examen approfondi pour comprendre pourquoi la recherche de Wiz n’a pas été interrompue avant l’obtention des privilèges d’administrateur du cluster
    • On peut se demander si SAP a reçu des alertes concernant cette activité et si elles ont été correctement examinées
    • On peut aussi se demander si SAP respecte les règles qui l’obligent à fournir des alertes appropriées sur les activités réseau suspectes, et si cette recherche pourrait montrer qu’elle ne respecte pas ces règles
  • Je suis choqué de voir qu’une instance Tiller, abandonnée depuis 2020, était encore en cours d’exécution
  • C’est une très mauvaise idée d’attendre de fortes garanties de multi-tenance sur un seul cluster K8s
    • Les grands fournisseurs cloud utilisent des frontières VM entre clients et des clusters K8s séparés
    • Microsoft a lui aussi rencontré un problème similaire il y a quelques années dans un produit où K8s était censé constituer la principale frontière de sécurité
  • Je me demande si quelqu’un ici a déjà utilisé Wiz
    • C’est peut-être le cas de croissance le plus rapide pour une société de logiciels d’entreprise
    • $100M atteints en 1,5 an
    • $350M atteints à la fin de la 3e année
  • Je pense que les entreprises qui s’introduisent sans autorisation dans des réseaux pour trouver des vulnérabilités et en faire du contenu de blog devraient être poursuivies
    • Cet article ressemble à un texte agressif déguisé en divulgation de vulnérabilité
    • La formule « merci pour votre coopération » sonne comme une légère forme de contrainte
  • Je suis heureux d’avoir convaincu mon entreprise d’exécuter les pentests annuels du produit en environnement de production
    • Ils se concentrent sur certains produits ou systèmes, mais tout entre dans le périmètre
    • Le premier test est en cours et personne ne s’est encore plaint
  • Je me demande si cela signifie que les données du compte d’un client étaient exposées à ce même client
    • À l’exception de certains logs
  • En tant que chercheur en sécurité, il aurait dû savoir que pixelliser du texte pour le censurer est un mauvais choix