SAPwned: Kerentanan SAP AI Mengekspos Lingkungan Cloud dan Data Pribadi Pelanggan

 (wiz.io)
1 poin oleh GN⁺ 2024-07-19 | 1 komentar | Bagikan ke WhatsApp

Apakah ada masalah isolasi pada AI?

Ringkasan

Tim riset Wiz meneliti masalah isolasi tenant pada beberapa penyedia layanan AI. Seiring infrastruktur AI menjadi elemen penting di banyak lingkungan bisnis, dampak dari serangan semacam ini semakin besar. Hasil riset akan dipresentasikan di konferensi Black Hat.

Riset SAP AI Core

SAP AI Core terintegrasi dengan HANA dan layanan cloud lainnya sehingga dapat mengakses data internal pelanggan. Tim riset ingin memverifikasi apakah pelaku berbahaya dapat mengakses rahasia pelanggan tersebut. Hasilnya, mereka dapat menjalankan model AI dan proses pelatihan berbahaya untuk mengakses file rahasia pelanggan dan lingkungan cloud mereka.

Kerentanan utama

  • Dapat membaca dan memodifikasi image Docker di registry container internal SAP
  • Dapat membaca dan memodifikasi image Docker SAP di Google Container Registry
  • Dapat membaca dan memodifikasi artifact di server Artifactory internal SAP
  • Dapat memperoleh hak administrator cluster di cluster Kubernetes milik SAP AI Core
  • Dapat mengakses kredensial cloud pelanggan dan artifact AI privat

Detail kerentanan

Melewati pembatasan jaringan

Melalui pengaturan shareProcessNamespace dan runAsUser pada Pod, mereka dapat mengakses konfigurasi proxy Istio. Ini memungkinkan mereka melewati pembatasan trafik di jaringan internal.

Kebocoran token AWS di server Loki

Mereka dapat mengakses rahasia AWS melalui endpoint /config pada server Grafana Loki. Ini memungkinkan akses ke log layanan AI Core dan Pod pelanggan.

EFS share tanpa autentikasi

Instance AWS Elastic File System (EFS) secara default dikonfigurasi terbuka sehingga file dapat dilihat tanpa kredensial. Ini memungkinkan akses ke data AI dalam jumlah besar.

Server Helm tanpa autentikasi

Melalui antarmuka gRPC server Helm, mereka dapat mengakses rahasia untuk Docker Registry dan server Artifactory milik SAP. Ini memungkinkan mereka membaca dan memodifikasi image internal serta build.

Eksposur cluster K8s

Melalui perintah install pada server Helm, mereka dapat memperoleh hak administrator cluster. Ini memungkinkan akses ke Pod pelanggan lain dan pencurian data sensitif.

Kesimpulan

Riset SAP AI Core menunjukkan pentingnya defense in depth. Menganggap jaringan internal sebagai sesuatu yang dapat dipercaya bisa berbahaya. Diperlukan pengamanan yang tepat untuk mengatasi tantangan unik yang muncul dalam proses R&D AI.

Ringkasan GN⁺

  • Masalah isolasi tenant pada infrastruktur AI merupakan isu keamanan penting.
  • Kerentanan di SAP AI Core memungkinkan pelaku berbahaya mengakses data rahasia pelanggan.
  • Hasil riset menekankan perlunya peningkatan standar isolasi dan sandboxing saat menjalankan model AI.
  • Proyek lain dengan fungsi serupa meliputi Google AI Platform dan Microsoft Azure Machine Learning.

Bacaan terkait

1 komentar

 
GN⁺ 2024-07-19
Komentar Hacker News
  • Ini tampaknya lebih merupakan masalah kerentanan pada konfigurasi k8s daripada masalah pada produk AI
  • SAP perlu melakukan peninjauan menyeluruh mengapa riset Wiz tidak dihentikan sebelum memperoleh hak administrator klaster
    • Saya penasaran apakah SAP menerima peringatan tentang aktivitas ini dan apakah mereka menyelidikinya dengan benar
    • Saya penasaran apakah SAP mengikuti peraturan yang mengharuskan pemberian peringatan yang memadai atas aktivitas jaringan yang mencurigakan, dan apakah riset ini bisa menunjukkan bahwa peraturan tersebut tidak terpenuhi
  • Saya terkejut melihat instance Tiller yang sudah dihentikan penggunaannya sejak 2020 masih berjalan
  • Mengharapkan jaminan multi-tenancy yang kuat dari satu klaster K8s adalah situasi yang sangat buruk
    • Layanan cloud besar menggunakan batas VM dan klaster K8s yang terpisah antar pelanggan
    • Microsoft juga mengalami masalah serupa beberapa tahun lalu pada produk fungsional yang mengandalkan K8s sebagai batas keamanan utama
  • Saya penasaran apakah ada yang pernah menggunakan Wiz
    • Ini mungkin salah satu kasus pertumbuhan tercepat untuk perusahaan perangkat lunak enterprise
    • Mencapai $100M dalam 1,5 tahun
    • Mencapai $350M pada akhir tahun ketiga
  • Saya rasa perusahaan yang menyusup ke jaringan tanpa izin untuk mencari kerentanan lalu membuat konten blog harus dituntut
    • Tulisan ini terdengar seperti tulisan agresif yang menyamar sebagai pengungkapan kerentanan
    • Frasa "terima kasih atas kerja samanya" terdengar seperti sedikit paksaan
  • Saya senang berhasil meyakinkan perusahaan agar menjalankan pentest tahunan produk di lingkungan produksi
    • Fokusnya memang pada produk atau sistem tertentu, tetapi semuanya masuk dalam cakupan
    • Pengujian pertama sedang berjalan dan sejauh ini belum ada yang mengeluh
  • Saya penasaran apakah ini bisa dibaca sebagai data akun pelanggan terekspos kepada pelanggan yang sama
    • Pengecualiannya adalah beberapa log
  • Sebagai peneliti keamanan, seharusnya mereka tahu bahwa menyunting dengan membuat teks menjadi berpiksel adalah pilihan yang buruk