Noma Securityのセキュリティ研究者は、GrafanaGhostと呼ばれる新しい脆弱性を発見しました。この脆弱性は、複数のセキュリティバイパスをチェーンすることで、Grafana環境から機密データを静かに盗み出すことができるエクスプロイトで、ユーザーの操作を必要としないプラットフォームのAIモデルガードレイル回避方法も含まれています。
Grafanaは、企業組織全体に広く展開されており、可観測性とデータ監視の中心的なハブとして機能します。通常、リアルタイムの財務指標、インフラストラクチャヘルスデータ、プライベートな顧客記録、運用テレメトリなど、他の多くの用途を含む機密情報を保有しています。この機密情報の集中がプラットフォームを重大な標的にしています。GrafanaGhostは、Grafanaのコンポーネントがユーザーコントロール入力を処理する方法を悪用して、プライベートデータ環境と外部の攻撃者が制御するサーバー間のギャップをブリッジします。
このアタックにはログイン認証情報が必要なく、ユーザーが悪意のあるリンクをクリックすることに依存していません。攻撃は、被害者組織の環境の外から発信されたクエリパラメータを使用した特定のURLパスを作成する攻撃者から始まります。Grafanaはエントリログを処理するため、攻撃者は正当な接続を持たない企業環境にアクセスできます。その後、攻撃者は、Grafanaのプロンプトインジェクションと呼ばれるモデルが無視するようにするための特定のキーワードを使用して、Grafanaの隠し指示を注入します。
Grafanaにはプロンプトインジェクションを防ぐために設計された組み込み保護がありますが、Noma研究者はその保護の根本的なロジックに欠陥を発見しました。この欠陥は、Grafanaのセキュリティチェックが安全と読み間違えたが、ブラウザが攻撃者が制御する外部サーバーへのリクエストとして扱うような方法でウェブアドレスをフォーマットすることで悪用される可能性があります。セキュリティチェックが許可していると信じたもの実際に起こったことの間のギャップは、アタックへの道を開くのに十分でした。
最終的な障害はAIモデル自身の自己防御本能でした。研究者が最初に悪意のある指示をそれを過ぎて滑らせようとしたとき、モデルはパターンを認識し、拒否しました。モデルがどのようにさまざまなタイプの入力を処理したかについての進一歩の研究の後、彼らはそれを立ち止まらせた特定のキーワードを見つけました。これは、効果的にはアタック指示を日常的で合法的なリクエストとして扱いました。
3つのバイパスがすべて実施されると、アタックは単独で実行されます。AIは悪意のある指示を処理し、攻撃者のサーバーから画像をロードしようとし、その過程で被害者の機密データを画像タグとともに静かに運びます。組織の誰かがリクエストが行われたことを知る前に、データは消えます。
Noma研究者は、複数のセキュリティレイヤーがGrafanaの実装に存在していたことを指摘しましたが、それぞれ独自の悪用可能な弱点を含んでいました。ドメイン検証ロジック、AIモデルガードレイル、およびコンテンツセキュリティ制御は、すべて順序立てて接近したときに失敗しました。
エクスプロイトは疑わしいリンクまたは明らかな侵入ではなく、間接的なプロンプトインジェクションによってトリガーされるため、ユーザーが気付くものはなく、管理者が見つけるアクセス拒否エラーはなく、セキュリティチームが調査する異常なイベントはありません。データチーム、DevSecOpsエンジニア、またはCISOに対して、このアクティビティはルーチンプロセスと区別がつきません。
「ペイロードは合法的な外部データソースに見えるもの内に位置しています。データ流出は、AI自身が開始するチャネルを通じて発生し、オブザーバーには通常のAI動作のように見えます。従来のSIEMルール、DLPツール、エンドポイント監視は、AIのアウトバウンドコールがユーザーによって指示されたか、インジェクトされたプロンプトによって指示されたかを質問するように設計されていません。AI固有の動作を理解する実行時保護がなければ、モデルに何が尋ねられたか、何を取得したか、どのようなアクションを取ったかを監視することなく、このアタックは効果的に目に見えないでしょう」とNoma Labsの脆弱性研究リーダーであるSasi Leviはサイバースクープに語りました。
このアタックは、AI支援機能を統合した企業環境に対して敵対者がどのようにアプローチしているかについてのより広い変化の別の例です。従来の意味での破られたアプリケーションコードを悪用するのではなく、攻撃者はますます弱いAIセキュリティサーフェスと間接的なプロンプトインジェクション方法を標的にしており、それにより彼らはそれらを保護する責任があるセキュリティチームに完全に見えないままで、重要なデータ資産にアクセスして抽出することができます。
Nomaは同様の問題を見つけましたLeviが過去1年間にCyberScoopに語ったように、研究者は同じ根本的なギャップを見続けています。AI機能は、AI固有の脅威モデルで設計されたことのないプラットフォームにボルトで固定されています。
「アタックサーフェスは、設定が誤ったファイアウォールまたはパッチされていないライブラリではなく、むしろAI自身の推論と取得動作の兵器化です。これらのプラットフォームは、彼らが取り込むコンテンツを信頼しすぎます」とLeviは述べました。
この研究は、攻撃者が現在の防御が追いつくことができない方法でAIを兵器化する方法についてのもう1つの例であり、それは防御者にとって非常に困難です。
「オフェンシブ研究者および、ますます、洗練された脅威アクターは、このアテーマでほとんどの企業防御者より大きく先にあります」とLeviは述べました。「AI固有のアタック用のフレームワーク、検出シグネチャ、および事故対応プレイブックは、まだ大規模には存在しません。私たちにいくつかの楽観主義を与えるのは、認識が急速に成長しているということですが、認識と準備は非常に異なるものです。」
Grafana Labsは責任を持った開示プロトコルを通じて通知され、Nomaと協力して調査結果を検証し、修正プログラムをリリースしました。
翻訳元: https://cyberscoop.com/grafanaghost-grafana-prompt-injection-vulnerability-data-exfiltration/
