L’quipe de recherche Wiz a dcouvert des vulnrabilits dans SAP AI Core, exposant les donnes sensibles des clients en contournant l’isolation des locataires. En excutant du code arbitraire, les chercheurs ont accd et modifi des images Docker, obtenu des privilges d’administrateur sur le cluster Kubernetes et accd aux identifiants cloud des clients. Ces failles, rvlant un besoin d’amliorations en matire d’isolation et de sandboxing dans les services d’IA, ont t corriges par SAP sans compromission de donnes clients. Les dtails sont prsents dans leur rapport complet.
SAP AI Core est un service de la SAP Business Technology Platform conu pour grer l’excution et les oprations des ressources d’IA de manire standardise, volutive et indpendante de l’hyperscalaire. Il offre une intgration transparente avec les solutions SAP. Toute fonction d’IA peut tre facilement ralise l’aide de frameworks open source. SAP AI Core prend en charge la gestion du cycle de vie complet des scnarios d’IA. Accdez aux capacits d’IA gnrative et la gestion rapide du cycle de vie via le hub d’IA gnrative.
SAP AI Core permet de prendre des dcisions bases sur les donnes en toute confiance et efficacit, et est adapt aux problmes de l’entreprise. Il traite de grands volumes de donnes et fournit des capacits d’apprentissage automatique volutives pour automatiser des tches telles que les services de triage pour les commentaires des clients ou les tickets et les tches de classification. SAP AI Core est livr avec des solutions SAP prconfigures, peut tre configur pour des frameworks d’apprentissage open source, peut tre utilis avec Argo Workflow et KServe, et peut tre intgr dans d’autres applications.
SAP AI Core permet d’exprimenter et d’utiliser des invites en langage naturel avec une varit de modles d’IA gnrative dans le hub d’IA gnrative. Au cours des derniers mois, l’quipe de recherche Wiz a examin l’isolation des locataires chez plusieurs fournisseurs de services d’IA. Ces services sont vulnrables des problmes d’isolation car ils permettent l’excution de modles et d’applications d’IA, ce qui revient excuter du code arbitraire. Avec l’IA devenant essentielle dans de nombreux environnements professionnels, les implications de telles attaques sont significatives.
Recherche sur SAP AI Core
L’apprentissage de l’IA ncessite l’accs d’importantes quantits de donnes sensibles des clients, ce qui rend les services d’IA particulirement attractifs pour les attaquants. SAP AI Core, en intgrant HANA et d’autres services cloud, permet l’accs aux donnes internes des clients via des cls d’accs cloud. Ces informations d’identification tant trs sensibles, l’objectif de notre recherche tait de vrifier si des acteurs malveillants pouvaient exploiter ces accs pour obtenir les secrets des clients.
La recherche sur SAP AI Core a dbut par l’utilisation de procdures lgitimes de formation l’IA sur l’infrastructure de SAP. En excutant du code arbitraire, Wiz a russi se dplacer latralement et prendre le contrle du service, accdant ainsi aux fichiers privs des clients et aux informations d’identification de leurs environnements cloud (AWS, Azure, SAP HANA Cloud, etc.). Les vulnrabilits identifies auraient permis aux cybercriminels d’accder aux donnes des clients et de contaminer les artefacts internes, se propageant potentiellement aux services connexes et aux environnements d’autres clients.
La cause premire de ces problmes tait la possibilit pour les cybercriminels d’excuter des modles d’IA malveillants et des procdures d’entranement, qui sont essentiellement du code. Aprs avoir examin plusieurs services d’IA de premier ordre, Wiz pense que l’industrie doit amliorer ses normes d’isolation et de sandboxing lors de l’excution de modles d’IA.
Toutes les vulnrabilits ont t signales l’quipe de scurit de SAP et corriges par SAP, comme indiqu sur son site web. L’quipe SAP Product Security Response Team exprime sa gratitude aux chercheurs en scurit qui respectent la divulgation coordonne des vulnrabilits et collaborent assidment avec nous pour corriger les failles de scurit. Nous remercions ces experts pour leur comptence et leur professionnalisme , SAP.
Ces vulnrabilits rsultaient de la possibilit d’excuter des modles d’IA malveillants. L’tude souligne que l’industrie doit renforcer ses normes d’isolation et de sandboxing pour les modles d’IA. Toutes les vulnrabilits ont t signales SAP et corriges. Aucune donne client n’a t compromise.
SAP AI Core permet de dvelopper, former et excuter des services d’IA grande chelle. Comme d’autres services cloud, le code client s’excute dans un environnement partag, posant des risques d’accs inter-locataires. Wiz a dbut en tant que client SAP avec des autorisations de base pour crer des projets d’IA. En crant une application d’IA ordinaire sur SAP AI Core, nous avons pu fournir un fichier Argo Workflow qui a gnr un nouveau Pod Kubernetes. Cela nous a permis d’excuter du code arbitraire, mme avec un accs rseau limit par un proxy Istio.
En ajustant notre UID celui d’Istio (1337), nous avons contourn les restrictions rseau. Nous avons configur notre Pod avec des privilges, partag l’espace de noms du processus avec notre conteneur sidecar (le proxy Istio), et utilis un jeton d’accs pour explorer l’environnement interne. Nous avons dcouvert que Grafana Loki fuyait les tokens AWS, rvlant ainsi des secrets utiliss pour accder S3.
SAP AI Core est un service permettant aux utilisateurs de dvelopper, former et excuter des services d’IA de manire volutive et gre, en utilisant les vastes ressources cloud de SAP. Comme d’autres fournisseurs de cloud et d’infrastructures d’IA, le code des clients s’excute dans l’environnement partag de SAP, ce qui pose un risque d’accs inter-locataires.
Wiz a commenc ses recherches en tant que client SAP, avec des autorisations de base pour crer des projets d’IA. Ils ont dbut en crant une application d’IA standard sur SAP AI Core. La plateforme SAP a permis de fournir un fichier Argo Workflow, qui a ensuite gnr un nouveau Pod Kubernetes selon leur configuration.
Cela a permis Wiz d’excuter leur propre code arbitraire sans ncessiter de vulnrabilit particulire. Cependant, leur environnement tait assez limit. Ils ont rapidement constat que leur Pod avait un accs rseau trs restreint, impos par un proxy sidecar Istio, ce qui les empchait de scanner le rseau interne.
Ces recherches sur SAP AI Core soulignent l’importance de la dfense en profondeur. Le principal obstacle la scurit rencontr par Wiz tait que le trafic tait bloqu par Istio, empchant l’accs au rseau interne. Une fois cet obstacle contourn, Wiz a pu accder plusieurs ressources internes sans ncessiter d’authentification supplmentaire, indiquant que le rseau interne tait peru comme scuris. Renforcer la scurit de ces services internes aurait pu limiter l’impact de l’attaque, passant d’une prise de contrle totale des services un incident de scurit mineur.
Comme le montrent les vulnrabilits prcdentes lies Kubernetes, cette recherche met en vidence les dfis de l’isolation des locataires dans les services grs utilisant K8s. L’architecture de Kubernetes affecte la sparation entre le plan de contrle (logique de service) et le plan de donnes (calcul du client), permettant des connexions logiques via API, identits, calcul partag et rseaux virtuels segments.
De plus, cette recherche illustre les dfis spcifiques associs au processus de R&D en IA. La formation l’IA implique ncessairement l’excution de code arbitraire ; il est donc crucial d’installer des garde-fous adquats pour garantir que le code non fiable soit correctement isol des actifs internes et des autres locataires.
propos de Wiz
Wiz transforme la scurit du cloud de l’intrieur. Avec une quipe exprimente et visionnaire, notre mission est d’aider les organisations concevoir des environnements cloud srs qui soutiennent leur croissance. En crant une couche de normalisation entre les environnements cloud, notre plateforme permet aux entreprises de dtecter et de rsoudre rapidement les risques critiques. Les quipes de scurit du monde entier nous font confiance :
- 40 % des charges de travail en cloud protges
- 5 millions de fichiers scanns quotidiennement
- 230 milliards d’vnements analyss, selon G2 et Gartner Peer Insights
- Clients issus du Fortune 100
Source : Wiz
Et vous ?
Quel est votre avis sur le sujet ?
La dcouverte des vulnrabilits dans SAP AI Core par l’quipe de recherche Wiz est-elle pertinente ?
Comment les vulnrabilits dcouvertes par Wiz se comparent-elles d’autres failles de scurit dans des services d’IA similaires ?
Voir aussi :