Los investigadores de seguridad de la startup de ciberseguridad Wiz han descubierto una serie de vulnerabilidades en su solución de inteligencia artificial SAP AI Core dirigida a clientes empresariales. Como resultado, los investigadores pudieron ejecutar código arbitrario y hacerse cargo de todo el servicio. Publicación de blog de Wiz. También es posible el acceso a datos privados de clientes de SAP, incluido el acceso a datos para entornos de nube en AWS, Azure, SAP Hana y más.
“Las vulnerabilidades que encontramos podrían haber permitido a los atacantes acceder a los datos de los clientes y comprometer los datos internos, extendiéndose a los servicios conectados y a los entornos de otros clientes”.dice el informe, que resume las vulnerabilidades bajo el término SAPwned.
Era posible, por ejemplo, interferir con las imágenes de Docker en el registro de contenedores de SAP o Google, obtener derechos de administrador en el clúster SAP AI Core Kubernetes y acceder a modelos de lenguaje y otros datos privados de IA de los clientes de SAP.
Estándares inadecuados de aislamiento y protección.
Los investigadores de Wiz creen que la causa principal de los problemas detectados es la posibilidad de que se ejecuten modelos de IA y procesos de entrenamiento maliciosos en SAP AI Core. “Lo cual es básicamente un símbolo”.. A esto se suma el hecho de que este código se ejecuta en un entorno común de SAP. Este también es el caso de otros proveedores, pero conlleva el riesgo de acceso entre clientes.
El mayor obstáculo al que se enfrentaron los investigadores fue el acceso limitado a la red interna. “Después de superar este obstáculo, pudimos acceder a varios recursos internos, que no requirieron autenticación adicional”.-dijo Wes-.
Las vulnerabilidades fueron reportadas a SAP a finales de enero. Un mes después, la compañía entregó el primer parche, pero los investigadores pudieron descifrarlo después de unos días. Según Waze, las vulnerabilidades sólo se han cerrado por completo desde el 15 de mayo. Es posible que no haya habido ningún compromiso real de los datos del cliente.
Después de examinar varios servicios líderes de IA, los investigadores creen que toda la industria necesita mejorar fundamentalmente los estándares de aislamiento y sandboxing al ejecutar modelos de IA.
Es posible que Wiz pronto sea adquirida por Alphabet, la empresa matriz de Google. Es posible que ya estén en marcha contranegociaciones. El precio de compra es de 23 mil millones de dólares.
More Stories
Lanzamiento de un nuevo juego de cartas coleccionables para Android e iOS
En retrospectiva en Apple: ya no hay MacBooks con 8GB de RAM
En lugar de la descripción general de audio NotebookLM de Google: Meta trae NotebookLlama