L'équipe de recherche Wiz a découvert des vulnérabilités dans SAP AI Core, exposant les données sensibles des clients en contournant l'isolation des locataires. En exécutant du code arbitraire, les chercheurs ont accédé et modifié des images Docker, obtenu des privilèges d'administrateur sur le cluster Kubernetes et accédé aux identifiants cloud des clients. Ces failles, révélant un besoin d'améliorations en matière d'isolation et de sandboxing dans les services d'IA, ont été corrigées par SAP sans compromission de données clients. Les détails sont présentés dans leur rapport complet.SAP AI Core est un service de la SAP Business Technology Platform conçu pour gérer l'exécution et les opérations des ressources d'IA de manière standardisée, évolutive et indépendante de l'hyperscalaire. Il offre une intégration transparente avec les solutions SAP. Toute fonction d'IA peut être facilement réalisée à l'aide de frameworks open source. SAP AI Core prend en charge la gestion du cycle de vie complet des scénarios d'IA. Accédez aux capacités d'IA générative et à la gestion rapide du cycle de vie via le hub d'IA générative.
SAP AI Core permet de prendre des décisions basées sur les données en toute confiance et efficacité, et est adapté aux problèmes de l'entreprise. Il traite de grands volumes de données et fournit des capacités d'apprentissage automatique évolutives pour automatiser des tâches telles que les services de triage pour les commentaires des clients ou les tickets et les tâches de classification. SAP AI Core est livré avec des solutions SAP préconfigurées, peut être configuré pour des frameworks d'apprentissage open source, peut être utilisé avec Argo Workflow et KServe, et peut être intégré dans d'autres applications.
SAP AI Core permet d'expérimenter et d'utiliser des invites en langage naturel avec une variété de modèles d'IA générative dans le hub d'IA générative. Au cours des derniers mois, l'équipe de recherche Wiz a examiné l'isolation des locataires chez plusieurs fournisseurs de services d'IA. Ces services sont vulnérables à des problèmes d'isolation car ils permettent l'exécution de modèles et d'applications d'IA, ce qui revient à exécuter du code arbitraire. Avec l'IA devenant essentielle dans de nombreux environnements professionnels, les implications de telles attaques sont significatives.
Recherche sur SAP AI Core
L'apprentissage de l'IA nécessite l'accès à d'importantes quantités de données sensibles des clients, ce qui rend les services d'IA particulièrement attractifs pour les attaquants. SAP AI Core, en intégrant HANA et d'autres services cloud, permet l'accès aux données internes des clients via des clés d'accès cloud. Ces informations d'identification étant très sensibles, l'objectif de notre recherche était de vérifier si des acteurs malveillants pouvaient exploiter ces accès pour obtenir les secrets des clients.
La recherche sur SAP AI Core a débuté par l'utilisation de procédures légitimes de formation à l'IA sur l'infrastructure de SAP. En exécutant du code arbitraire, Wiz a réussi à se déplacer latéralement et à prendre le contrôle du service, accédant ainsi aux fichiers privés des clients et aux informations d'identification de leurs environnements cloud (AWS, Azure, SAP HANA Cloud, etc.). Les vulnérabilités identifiées auraient permis aux cybercriminels d'accéder aux données des clients et de contaminer les artefacts internes, se propageant potentiellement aux services connexes et aux environnements d'autres clients.
La cause première de ces problèmes était la possibilité pour les cybercriminels d'exécuter des modèles d'IA malveillants et des procédures d'entraînement, qui sont essentiellement du code. Après avoir examiné plusieurs services d'IA de premier ordre, Wiz pense que l'industrie doit améliorer ses normes d'isolation et de sandboxing lors de l'exécution de modèles d'IA.
Toutes les vulnérabilités ont été signalées à l'équipe de sécurité de SAP et corrigées par SAP, comme indiqué sur son site web. « L'équipe SAP Product Security Response Team exprime sa gratitude aux chercheurs en sécurité qui respectent la divulgation coordonnée des vulnérabilités et collaborent assidûment avec nous pour corriger les failles de sécurité. Nous remercions ces experts pour leur compétence et leur professionnalisme », SAP.
Ces vulnérabilités résultaient de la possibilité d'exécuter des modèles d'IA malveillants. L'étude souligne que l'industrie doit renforcer ses normes d'isolation et de sandboxing pour les modèles d'IA. Toutes les vulnérabilités ont été signalées à SAP et corrigées. Aucune donnée client n'a été compromise.
SAP AI Core permet de développer, former et exécuter des services d'IA à grande échelle. Comme d'autres services cloud, le code client s'exécute dans un environnement partagé, posant des risques d'accès inter-locataires. Wiz a débuté en tant que client SAP avec des autorisations de base pour créer des projets d'IA. En créant une application d'IA ordinaire sur SAP AI Core, nous avons pu fournir un fichier Argo Workflow qui a généré un nouveau Pod Kubernetes. Cela nous a permis d'exécuter du code arbitraire, même avec un accès réseau limité par un proxy Istio.
En ajustant notre UID à celui d'Istio (1337), nous avons contourné les restrictions réseau. Nous avons configuré notre Pod avec des privilèges, partagé l'espace de noms du processus avec notre conteneur sidecar (le proxy Istio), et utilisé un jeton d'accès pour explorer l'environnement interne. Nous avons découvert que Grafana Loki fuyait les tokens AWS, révélant ainsi des secrets utilisés pour accéder à S3.
SAP AI Core est un service permettant aux utilisateurs de développer, former et exécuter des services d'IA de manière évolutive et gérée, en utilisant les vastes ressources cloud de SAP. Comme d'autres fournisseurs de cloud et d'infrastructures d'IA, le code des clients s'exécute dans l'environnement partagé de SAP, ce qui pose un risque d'accès inter-locataires.
Wiz a commencé ses recherches en tant que client SAP, avec des autorisations de base pour créer des projets d'IA. Ils ont débuté en créant une application d'IA standard sur SAP AI Core. La plateforme SAP a permis de fournir un fichier Argo Workflow, qui a ensuite généré un nouveau Pod Kubernetes selon leur configuration.
Cela a permis à Wiz d'exécuter leur propre code arbitraire sans nécessiter de vulnérabilité particulière. Cependant, leur environnement était assez limité. Ils ont rapidement constaté que leur Pod avait un accès réseau très restreint, imposé par un proxy sidecar Istio, ce qui les empêchait de scanner le réseau interne.
Ces recherches sur SAP AI Core soulignent l'importance de la défense en profondeur. Le principal obstacle à la sécurité rencontré par Wiz était que le trafic était bloqué par Istio, empêchant l'accès au réseau interne. Une fois cet obstacle contourné, Wiz a pu accéder à plusieurs ressources internes sans nécessiter d'authentification supplémentaire, indiquant que le réseau interne était perçu comme sécurisé. Renforcer la sécurité de ces services internes aurait pu limiter l'impact de l'attaque, passant d'une prise de contrôle totale des services à un incident de sécurité mineur.
Comme le montrent les vulnérabilités précédentes liées à Kubernetes, cette recherche met en évidence les défis de l'isolation des locataires dans les services gérés utilisant K8s. L'architecture de Kubernetes affecte la séparation entre le plan de contrôle (logique de service) et le plan de données (calcul du client), permettant des connexions logiques via API, identités, calcul partagé et réseaux virtuels segmentés.
De plus, cette recherche illustre les défis spécifiques associés au processus de R&D en IA. La formation à l'IA implique nécessairement l'exécution de code arbitraire ; il est donc crucial d'installer des garde-fous adéquats pour garantir que le code non fiable soit correctement isolé des actifs internes et des autres locataires.
À propos de Wiz
Wiz transforme la sécurité du cloud de l'intérieur. Avec une équipe expérimentée et visionnaire, leur mission est d'aider les organisations à concevoir des environnements cloud sûrs qui soutiennent leur croissance. En créant une couche de normalisation entre les environnements cloud, leur plateforme permet aux entreprises de détecter et de résoudre rapidement les risques critiques. Les équipes de sécurité du monde entier leur font confiance.
- 40 % des charges de travail en cloud protégées
- 5 millions de fichiers scannés quotidiennement
- 230 milliards d'événements analysés, selon G2 et Gartner Peer Insights
- Clients issus du Fortune 100
Source : Wiz
Et vous ?
Quel est votre avis sur le sujet ? La découverte des vulnérabilités dans SAP AI Core par l'équipe de recherche Wiz est-elle pertinente ? Comment les vulnérabilités découvertes par Wiz se comparent-elles à d'autres failles de sécurité dans des services d'IA similaires ?Voir aussi :
Google serait en pourparlers avancés en vue d'acquérir la startup Wiz, spécialisée dans la sécurité du cloud, pour 23 milliards de dollars, ce qui constituerait sa plus grosse acquisition jamais réalisée Les fournisseurs de cloud computing utilisent toujours secrètement des intergiciels, selon Wiz Research