Grupos de investigadores de segurança revelaram recentemente ter descoberto uma vulnerabilidade nos sistemas SAP, mais concretamente no SAP AI Core, que pode permitir usar a funcionalidade de IA para aceder a dados de utilizadores e outras informações sensíveis.
A falha foi descoberta pela empresa de segurança Wiz, e apelidada de “SAPwned”, sendo que permite usar a AI Core para aceder à informação de forma direta. Segundo os investigadores, a falha pode permitir que os dados dos clientes sejam acedidos, e também outras informações propagadas para sistemas relacionados e outros ambientes dos clientes.
A falha foi inicialmente reportada de forma responsável a 25 de Janeiro de 2024, e corrigida pela SAP em 15 de Maio. Se explorada, a falha poderia permitir aceder a tokens da Amazon Web Services (AWS), Microsoft Azure, e SAP HANA Cloud que se encontravam nas contas dos clientes, e potencialmente, a dados existentes nessas plataformas.
Era ainda possível usar a mesma para adulterar imagens Docker da SAP, contendo alterações potencialmente maliciosas e que poderiam ser usadas para a recolha de dados e acessos persistente aos sistemas.
"Usando esse nível de acesso, um invasor pode aceder diretamente aos Pods de outros clientes e roubar dados confidenciais, como modelos, conjuntos de dados e código", explicou Ben-Sasson. "Esse acesso também permite que invasores interfiram nos Pods dos clientes, contaminem dados de IA e manipulem a inferência dos modelos."
Em parte, os investigadores apontam que a falha é possível de ser explorada porque a plataforma permite executar modelos de IA maliciosos sem os corretos meios de isolamento ou sandbox.
Tendo em conta que a falha foi, entretanto corrigida, e não terá sido tornada pública antes de tal, não se acredita que esta falha tenha sido ativamente usada para ataques, embora demonstre o potencial de problemas que poderiam surgir caso não fosse detetada a tempo.
Nenhum comentário
Seja o primeiro!