江蘇
關(guān)鍵詞
漏洞
Noma Security最新研究顯示,Grafana AI組件處理信息的方式存在漏洞,可能允許攻擊者繞過(guò)應(yīng)用防護(hù)并泄露企業(yè)信息。
Grafana是一款開(kāi)源分析和可視化應(yīng)用,從各種來(lái)源攝取數(shù)據(jù),通常對(duì)企業(yè)數(shù)據(jù)擁有廣泛訪問(wèn)權(quán)限,包括財(cái)務(wù)指標(biāo)、基礎(chǔ)設(shè)施、客戶(hù)信息和遙測(cè)數(shù)據(jù)。
新發(fā)現(xiàn)的GrafanaGhost漏洞允許攻擊者繞過(guò)客戶(hù)端保護(hù)和安全防護(hù)欄,將私有數(shù)據(jù)鏈接至外部服務(wù)器,在后臺(tái)無(wú)需用戶(hù)交互即可暴露敏感信息。
攻擊者可通過(guò)在用戶(hù)與條目日志交互時(shí)針對(duì)Grafana的AI功能利用該弱點(diǎn)。后臺(tái)惡意提示觸發(fā)問(wèn)題,將Grafana轉(zhuǎn)變?yōu)橥庑馆d體。
為發(fā)動(dòng)攻擊,威脅行為體需制作指向外部資源的路徑。經(jīng)Grafana處理后,條目日志為攻擊者提供對(duì)企業(yè)環(huán)境的訪問(wèn)權(quán)限。
隨后,攻擊者使用隱藏在外部上下文中的間接提示,指示Grafana的AI助手忽略其防護(hù)欄并渲染外部圖像,迫使系統(tǒng)確認(rèn)外部URL。
當(dāng)AI助手嘗試渲染圖像時(shí),會(huì)向攻擊者服務(wù)器發(fā)出請(qǐng)求,受害者數(shù)據(jù)作為URL參數(shù)一并發(fā)送。”系統(tǒng)嘗試顯示圖像時(shí)數(shù)據(jù)即泄露,”Noma表示。
該網(wǎng)絡(luò)安全公司發(fā)現(xiàn),問(wèn)題在于攻擊者可通過(guò)猜測(cè)數(shù)據(jù)結(jié)構(gòu)和模型”偽造任何使用Grafana的公司路徑”。此外,攻擊者可使用應(yīng)用數(shù)據(jù)存儲(chǔ)中保存提示的位置。
從那里,攻擊者可通過(guò)制作相應(yīng)提示,濫用Grafana通過(guò)圖像標(biāo)簽外泄數(shù)據(jù)。雖然Grafana設(shè)有阻止從外部域加載圖像的保護(hù)措施,但驗(yàn)證圖像URL的函數(shù)存在缺陷,可被利用繞過(guò)保護(hù)。
AI模型也設(shè)有防止注入包含圖像Markdown提示的防護(hù)欄,但Noma發(fā)現(xiàn)關(guān)鍵詞”intent”可用于繞過(guò)保護(hù),向模型發(fā)出指令合法的訊號(hào)。
“將這些發(fā)現(xiàn)串聯(lián)起來(lái),我們實(shí)現(xiàn)了零用戶(hù)交互的自動(dòng)數(shù)據(jù)外泄。數(shù)據(jù)外泄完全在后臺(tái)進(jìn)行。對(duì)數(shù)據(jù)團(tuán)隊(duì)、DevSecOps或CISO而言,這看起來(lái)像是數(shù)據(jù)可視化的平常一天,”Noma指出,并補(bǔ)充Grafana在接到通知后立即修復(fù)了這些弱點(diǎn)。
BeyondTrust副首席信息安全官Bradley Smith表示,使用間接提示注入通過(guò)渲染內(nèi)容外泄數(shù)據(jù)是眾所周知的攻擊向量,針對(duì)加固Grafana部署的可利用性尚不明確。
“實(shí)際可利用性很大程度上取決于部署細(xì)節(jié):AI功能是否啟用、是否存在出口控制、環(huán)境如何處理外部數(shù)據(jù)攝取。這不是Grafana的通用繞過(guò);而是演示當(dāng)AI組件處理不受信任輸入且缺乏足夠架構(gòu)控制時(shí)可能發(fā)生的情況,”Smith表示。
Acalvio首席執(zhí)行官Ram Varadarajan表示,GrafanaGhost表明AI的廣泛采用已將防御轉(zhuǎn)移到應(yīng)用層之外,需要網(wǎng)絡(luò)級(jí)URL阻斷和加固AI以防范提示注入。
“最終,該漏洞證明邊界控制不足。保護(hù)AI驅(qū)動(dòng)工具的唯一方式是從監(jiān)控代理被告知的內(nèi)容,轉(zhuǎn)向?qū)ζ鋵?shí)際行為進(jìn)行運(yùn)行時(shí)行為監(jiān)控,”Varadarajan表示。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專(zhuān)注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶(hù)上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
