Az SAP AI Core sebezhetőségek kibertámadásoknak teszik ki az ügyféladatokat

July 19, 2024 Yanac SAP, Sérülékenység

A Wiz felhőbiztonsági cég kiberbiztonsági kutatói öt, együttesen SAPwnednek nevezett sebezhetőséget fedeztek fel az SAP AI Core felhőalapú platformban. A prediktív AI-munkafolyamatok fejlesztésére és telepítésére tervezett platformon olyan biztonsági hiányosságokat találtak, amelyek potenciálisan kihasználhatók a hozzáférési tokenek és bizalmas ügyféladatok megszerzésére. A kutatók megjegyezték, hogy ezek a sebezhetőségek lehetővé tehetik a támadók számára, hogy hozzáférjenek az ügyfelek adataihoz, megfertőzzék a belső artefaktumokat (adatbázis definiálásra használt objektumok), és átterjedjenek a kapcsolódó szolgáltatásokra és más ügyfelek környezetére. Az SAP a felelős nyilvánosságra hozatalt követően 2024. január 25-én orvosolta ezeket a gyengeségeket.

Az azonosított hibák lehetővé teszik, hogy az ügyfelek privát artefaktumaihoz és felhőkörnyezetük hitelesítő adataihoz engedély nélküli hozzáférést szerezzenek olyan platformokon, mint az Amazon Web Services (AWS), a Microsoft Azure és az SAP HANA Cloud. Az ilyen jogosulatlan hozzáférés felhasználható a Docker image-ek és artefaktumok módosítására, ami az SAP AI Core szolgáltatásai elleni ellátási láncot érintő támadást eredményezhet. Ezenkívül kihasználható lenne a klaszteradminisztrátori jogosultságok megszerzésére is, kihasználva a Helm csomagkezelő szerver olvasási és írási műveleteknek való kitettségét. A kutatók rámutatnak, hogy a sebezhetőségek abból adódnak, hogy a felhasználók rosszindulatú AI-modelleket és képzési eljárásokat futtathatnak megosztott környezetben, megfelelő elszigetelési és sandboxing mechanizmusok nélkül.

A biztonsági környezetben ezek az eredmények emlékeztetőül szolgálnak az olyan AI-szolgáltatók, mint a Hugging Face, a Replicate és az SAP AI Core számára a bérlők elszigetelésének és szegmentálásának lehetséges gyengeségeiről. Hangsúlyozzák annak fontosságát, hogy felhívják a figyelmet a megbízható bérlői elszigetelési gyakorlatokra, valamint a megosztott környezetek lehetséges behatolásokkal szembeni keményítésére.

(forrás)