Een AI-fout van de schrijver kan ervoor zorgen dat agenten previews van sessietokens lekken tussen tenants

Cybersecurity-onderzoekers hebben details bekendgemaakt van een nu gepatcht kwetsbaarheid voor kritieke sessie-isolatie in Writer, een platform voor generatieve kunstmatige intelligentie (AI) voor ondernemingen, dat zou kunnen leiden tot compromissen tussen huurders.

De one-click-kwetsbaarheid heeft de codenaam gekregen Uitschrijven door het Sand Security Research-team.

“Een buitenstaander zou kunnen gaan van het hebben van geen toegang tot het overnemen van een Writer AI-organisatie binnen toonaangevende ondernemingen, met niets meer dan een link”, aldus het cyberbeveiligingsbedrijf in een rapport gedeeld met The Hacker News.

Anders gezegd: de tekortkoming zou kunnen worden misbruikt om de Writer-account van een slachtoffer over te nemen en deze te gebruiken om toegang te krijgen tot privéchats, documenten en andere gevoelige gegevens met betrekking tot agenten, configuraties, privémodellen, connectoren en LLM-referenties (Large Language Model).

Erger nog, het zou kunnen worden misbruikt om de administratieve controle over te nemen, afhankelijk van de rol van het slachtoffer. Een belangrijk aspect van de fout is dat de aanvaller en het slachtoffer niet tot dezelfde organisatie hoeven te behoren.

Een aanvaller kan een agent in zijn eigen Writer-account aanmaken en een voorbeeldlink delen. Dat is alles wat nodig is om de kwetsbaarheid te activeren, waardoor het feitelijk mogelijk wordt om het account te kapen van een slachtoffer dat op de link klikt en is ingelogd met zijn eigen sessie.

“Een aanvaller kan de door AI beheerde sandbox van Writer misbruiken om sessies van volledig afzonderlijke bedrijven te verzamelen en binnen elk van deze bedrijven als een echte gebruiker te handelen, zonder enige voorafgaande voet aan de grond”, aldus Sand Security.

WriteOut ondermijnt ook het gedeelde verantwoordelijkheidsmodel omdat het de isolatiebescherming van huurders doorbreekt door gebruik te maken van de live preview-functie van Writer waarmee gebruikers een voorbeeld van de applicatie kunnen bekijken via het Writer Framework.

De hele aanvalsketen verloopt als volgt:

  • Een aanvaller bouwt een agent met een live preview en deelt de openbare preview-link.
  • Wanneer een ingelogde Writer-gebruiker die link opent, voegt zijn browser zijn Writer-sessiecookie toe aan het verzoek.
  • De preview-proxy stuurt dat cookie naar de sandbox van de aanvaller.
  • De code in de door de aanvaller bestuurde sandbox leest het doorgestuurde sessietoken en exfiltreert
  • Het.
  • De aanvaller speelt het token opnieuw af en krijgt controle over het Writer-account van het slachtoffer.

Omdat een aanvaller zijn vooraf gebouwde kwaadwillende agent kan instrueren om code uit te voeren in de gecontroleerde, beheerde sandbox, wordt het mogelijk om het geheugen van het sandboxproces te lezen, de geëxfiltreerde sessietoken van het slachtoffer te herstellen en deze naar een server te verzenden die zij onderhouden.

Na verantwoorde openbaarmaking heeft Writer het probleem aangepakt door te voorkomen dat de sessiecookie van de gebruiker volledig naar sandbox-previews wordt doorgestuurd en deze naar een geïsoleerde oorsprong te verplaatsen.

“De schrijver was niet onzorgvuldig, er waren vangrails. Filtering aan de invoerzijde probeerde te voorkomen dat gebruikers omgevingsvariabelen zouden lezen of duidelijk kwaadaardige code zouden indienen”, aldus Sand Security. “Het probleem is waar die controles naar keken: de instructie, niet het runtime-gedrag.”

“Het omzeilen van de guardrail was vrij eenvoudig: in plaats van de payload inline te plakken, vertelden we de agent simpelweg dat hij een script op afstand moest ophalen en uitvoeren. De guardrail zag een goedaardig ‘download en run’-verzoek en de daadwerkelijke exploitatielogica verscheen helemaal nooit in de prompt.”

Thijs Van der Does