Cybersecurityonderzoekers hebben beveiligingstekortkomingen ontdekt in het cloudgebaseerde SAP AI Core-platform voor het creëren en implementeren van voorspellende AI-workflows (kunstmatige intelligentie). Deze tekortkomingen kunnen worden misbruikt om toegangstokens en klantgegevens te bemachtigen.
De vijf kwetsbaarheden worden gezamenlijk aangeduid als SAP-eigenaar door cloudbeveiligingsbedrijf Wiz.
“De kwetsbaarheden die we hebben gevonden, kunnen aanvallers in staat hebben gesteld om toegang te krijgen tot de gegevens van klanten en interne artefacten te besmetten, die zich vervolgens kunnen verspreiden naar gerelateerde services en de omgevingen van andere klanten”, aldus beveiligingsonderzoeker Hillai Ben-Sasson in een rapport dat is gedeeld met The Hacker News.
Na de verantwoorde openbaarmaking op 25 januari 2024 heeft SAP de zwakke punten per 15 mei 2024 aangepakt.
Kort gezegd maken de fouten het mogelijk om ongeautoriseerde toegang te verkrijgen tot de persoonlijke gegevens en inloggegevens van klanten voor cloudomgevingen zoals Amazon Web Services (AWS), Microsoft Azure en SAP HANA Cloud.
Ze kunnen ook worden gebruikt om Docker-images in het interne containerregister van SAP, de Docker-images van SAP in het Google Container Registry en artefacten die op de interne Artifactory-server van SAP worden gehost, te wijzigen. Dit kan resulteren in een aanval op de toeleveringsketen van SAP AI Core-services.
Bovendien zou de toegang kunnen worden misbruikt om clusterbeheerdersrechten te verkrijgen op het Kubernetes-cluster van SAP AI Core. Hiervoor zou gebruikgemaakt kunnen worden van het feit dat de Helm-pakketbeheerserver blootgesteld was aan zowel lees- als schrijfbewerkingen.
“Met dit toegangsniveau kan een aanvaller rechtstreeks toegang krijgen tot de Pods van andere klanten en gevoelige gegevens stelen, zoals modellen, datasets en code”, legt Ben-Sasson uit. “Deze toegang stelt aanvallers ook in staat om de Pods van klanten te verstoren, AI-gegevens te besmetten en de gevolgtrekking van modellen te manipuleren.”
Volgens Wiz ontstaan de problemen doordat het platform het mogelijk maakt om schadelijke AI-modellen en trainingsprocedures uit te voeren zonder adequate isolatie- en sandboxmechanismen.
“De recente beveiligingslekken in AI-serviceproviders zoals Hugging Face, Replicate en SAP AI Core benadrukken significante kwetsbaarheden in hun tenant-isolatie- en segmentatie-implementaties,” vertelde Ben-Sasson aan The Hacker News. “Deze platforms stellen gebruikers in staat om niet-vertrouwde AI-modellen en trainingsprocedures uit te voeren in gedeelde omgevingen, waardoor het risico toeneemt dat kwaadwillende gebruikers toegang krijgen tot de gegevens van andere gebruikers.”
“In tegenstelling tot ervaren cloudproviders die veel ervaring hebben met huurderisolatiepraktijken en robuuste isolatietechnieken gebruiken zoals virtuele machines, missen deze nieuwere services vaak deze kennis en vertrouwen ze op containerisatie, wat een zwakkere beveiliging biedt. Dit onderstreept de noodzaak om het bewustzijn van het belang van huurderisolatie te vergroten en de AI-servicesector aan te sporen hun omgevingen te verharden.”
Hierdoor kan een kwaadwillende actor een reguliere AI-applicatie op SAP AI Core maken, netwerkbeperkingen omzeilen en het interne netwerk van de Kubernetes Pod onderzoeken om AWS-tokens te verkrijgen en toegang te krijgen tot klantcode en trainingsdatasets door misbruik te maken van verkeerde configuraties in AWS Elastic File System (EFS)-shares.
“Mensen moeten zich ervan bewust zijn dat AI-modellen in essentie code zijn. Wanneer u AI-modellen op uw eigen infrastructuur uitvoert, kunt u worden blootgesteld aan potentiële supply chain-aanvallen”, aldus Ben-Sasson.
“Voer alleen vertrouwde modellen uit van vertrouwde bronnen en maak een goede scheiding tussen externe modellen en gevoelige infrastructuur. Bij het gebruik van AI-serviceproviders is het belangrijk om hun tenant-isolatiearchitectuur te verifiëren en ervoor te zorgen dat ze best practices toepassen.”
De bevindingen komen nadat Netskope aangaf dat het toenemende gebruik van generatieve AI door ondernemingen ertoe heeft geleid dat organisaties gebruikmaken van blokkeringscontroles, tools voor preventie van gegevensverlies (DLP), realtime coaching en andere mechanismen om risico’s te beperken.
“Gereguleerde gegevens (gegevens die organisaties wettelijk verplicht zijn te beschermen) vormen meer dan een derde van de gevoelige gegevens die worden gedeeld met generatieve AI (genAI)-toepassingen. Dit vormt een potentieel risico voor bedrijven op kostbare datalekken”, aldus het bedrijf.
Ze volgen ook de opkomst van een nieuwe cybercriminele groep genaamd NullBulge. Deze groep richt zich sinds april 2024 op organisaties die zich richten op AI en gaming. Het doel is om gevoelige gegevens te stelen en gecompromitteerde OpenAI API-sleutels te verkopen op ondergrondse forums. De groep beweert een hacktivistische bende te zijn die ‘kunstenaars over de hele wereld beschermt’ tegen AI.
“NullBulge richt zich op de softwarevoorzieningsketen door code in openbaar beschikbare opslagplaatsen op GitHub en Hugging Face als wapen te gebruiken. Hierdoor importeren slachtoffers schadelijke bibliotheken of gebruiken ze modpakketten die worden gebruikt door gaming- en modelleringssoftware”, aldus Jim Walter, beveiligingsonderzoeker bij SentinelOne.
“De groep gebruikt tools als AsyncRAT en XWorm voordat ze LockBit-payloads leveren die zijn gebouwd met de gelekte LockBit Black-builder. Groepen als NullBulge vertegenwoordigen de voortdurende dreiging van ransomware met een lage instapdrempel, gecombineerd met het immergroene effect van infecties met info-stealers.”
