Investigadores de ciberseguridad han descubierto múltiples vulnerabilidades en SAP AI Core, una plataforma basada en la nube para flujos de trabajo de inteligencia artificial (IA). Estas fallas podrían ser explotadas para obtener tokens de acceso y datos de clientes. Las cinco vulnerabilidades, denominadas colectivamente como SAPwned por la firma de seguridad Wiz, permitirían acceder a datos de clientes y contaminar artefactos internos y servicios relacionados.
El investigador de seguridad Hillai Ben-Sasson señaló que estas vulnerabilidades podrían haber permitido a los atacantes acceder a información confidencial de los clientes. Tras una divulgación responsable el 25 de enero de 2024, SAP abordó estas debilidades a partir del 15 de mayo de 2024.
En resumen, las deficiencias podrían permitir el acceso no autorizado a artefactos privados de clientes, credenciales de entornos en la nube y también modificar imágenes de Docker en registros de contenedores internos de SAP. Estas vulnerabilidades podrían resultar en ataques a la cadena de suministro en los servicios de SAP AI Core.
Además, el acceso obtenido podría ser utilizado para obtener privilegios de administrador en el clúster de SAP AI Core. Wiz afirma que estas vulnerabilidades se originan en la falta de mecanismos adecuados de aislamiento y sandboxing para la ejecución de modelos de IA maliciosos y procedimientos de entrenamiento. Estas deficiencias podrían aumentar el riesgo de que usuarios malintencionados accedan a los datos de otros usuarios.
Los hallazgos destacan la importancia de la seguridad en la ejecución de modelos de IA y presionan a la industria de servicios de IA para reforzar sus entornos y mejorar las prácticas de aislamiento. Estos descubrimientos coinciden con un aumento en el uso empresarial de la IA generativa, lo que ha llevado a las organizaciones a implementar controles de seguridad adicionales para mitigar los riesgos.
Vía The Hacker News
