Recentemente, i ricercatori di sicurezza informatica hanno scoperto delle vulnerabilità critiche nella piattaforma cloud SAP AI Core. Questa piattaforma è utilizzata per creare e distribuire flussi di lavoro basati sull'intelligenza artificiale predittiva. Le falle di sicurezza identificate potrebbero essere sfruttate per ottenere token di accesso e dati dei clienti, mettendo a rischio informazioni sensibili.

Le cinque vulnerabilità sono state individuate dalla società di sicurezza cloud Wiz

Secondo il ricercatore Hillai Ben-Sasson, queste falle permetterebbero agli attaccanti di accedere ai dati dei clienti e contaminare artefatti interni, propagandosi ad altri servizi correlati e ambienti di clienti. Le vulnerabilità sono state segnalate a SAP il 25 gennaio 2024 e risolte il 15 maggio 2024.

In sostanza, le falle consentono di ottenere accesso non autorizzato agli artefatti privati dei clienti e alle credenziali per ambienti cloud come Amazon Web Services (AWS), Microsoft Azure e SAP HANA Cloud. Potrebbero anche essere utilizzate per modificare immagini Docker nel registro interno dei container di SAP, nonché artefatti ospitati sul server Artifactory interno di SAP, portando a un attacco alla catena di fornitura sui servizi SAP AI Core.

Inoltre, tale accesso potrebbe essere utilizzato per ottenere privilegi di amministratore del cluster sul cluster Kubernetes di SAP AI Core, sfruttando il fatto che il server Helm package manager era esposto a operazioni sia di lettura che di scrittura. Questo livello di accesso consentirebbe agli attaccanti di accedere direttamente ai pod di altri clienti, rubando dati sensibili come modelli, dataset e codice.

Secondo Wiz, i problemi sorgono dal fatto che la piattaforma rende possibile eseguire modelli AI dannosi e procedure di addestramento senza adeguati meccanismi di isolamento e sandboxing. Questo problema è comune tra i fornitori di servizi AI come Hugging Face e Replicate, sottolineando la necessità di migliorare le pratiche di isolamento degli inquilini.

Di conseguenza, un attore malevolo potrebbe creare un'applicazione AI regolare su SAP AI Core, bypassare le restrizioni di rete e sondare la rete interna del pod Kubernetes per ottenere token AWS, accedendo al codice dei clienti e ai dataset di addestramento sfruttando configurazioni errate nelle condivisioni AWS Elastic File System (EFS).

È essenziale che gli utenti siano consapevoli del fatto che i modelli AI sono essenzialmente codice, e che l'esecuzione di modelli AI su infrastrutture proprie potrebbe esporli a potenziali attacchi alla catena di fornitura. È consigliabile eseguire solo modelli di fiducia da fonti affidabili e separare adeguatamente tra modelli esterni e infrastrutture sensibili. Inoltre, è importante verificare l'architettura di isolamento degli inquilini dei fornitori di servizi AI e assicurarsi che applichino le migliori pratiche.

Questi eventi si collocano in un contesto più ampio di crescenti preoccupazioni per la sicurezza, con organizzazioni che adottano meccanismi di controllo per mitigare i rischi associati all'uso di AI generativa. La recente scoperta di un nuovo gruppo di cybercriminali, NullBulge, che prende di mira entità focalizzate su AI e gaming, evidenzia ulteriormente la necessità di rafforzare le difese contro le minacce informatiche.