Grafanaのアイコンポーネントが情報を処理する方法における脆弱性により、攻撃者はアプリケーションの保護機能を回避してエンタープライズ情報を漏洩させる可能性があります。これはNoma Securityの新しい研究で明らかになりました。
様々なソースからデータを取り込むオープンソースの分析・可視化アプリケーションであるGrafanaは、財務指標、インフラストラクチャ、顧客情報、テレメトリを含むエンタープライズデータへの広範なアクセス権を持つことが多いです。
新たに発見されたGrafanaGhostという名称の脆弱性により、攻撃者はクライアント側の保護とセキュリティガードレールを回避し、プライベートデータを外部サーバーにリンクさせることで、ユーザーとのやり取りなしにバックグラウンドで機密情報を公開することができます。
攻撃者は、ユーザーがエントリログとやり取りする際にGrafanaのAIベースの機能をターゲットにすることで、この脆弱性を悪用できます。バックグラウンドで悪意あるプロンプトが問題を引き起こし、Grafanaを流出の手段に変えます。
攻撃を実行するには、脅威アクターが外部リソースを指す経路を作成する必要があります。Grafanaで処理されると、エントリログは攻撃者にエンタープライズ環境へのアクセス権を提供します。
次に、攻撃者は外部コンテキストに隠された間接的なプロンプトを使用して、Grafanaのアイコンパニオンにそのガードレールを無視し、外部イメージをレンダリングするよう指示し、システムに外部URLを認識させるよう強制します。
イメージをレンダリングしようとすると、アイコンパニオンが攻撃者のサーバーにリクエストを送信し、被害者のデータはURLパラメータとして送信されます。Nomaは「システムがイメージを表示しようとする瞬間にデータが漏洩する」と述べています。
同社が発見した問題は、攻撃者がデータ構造とモデルを推測することで「Grafanaを使用しているあらゆる企業のパスを偽造」できるということでした。さらに、攻撃者はアプリケーションのデータストア内でプロンプトが保存される場所を悪用できます。
そこから、攻撃者は適切にプロンプトを作成することで、イメージタグ経由でデータを流出させるためにGrafanaを悪用できます。Grafanaは外部ドメインからのイメージ読み込みを防止する保護機能を備えていますが、イメージURLを検証する関数の欠陥を悪用してこの保護をバイパスする可能性があります。
AIモデルにはイメージマークダウンを含むプロンプト注入を防止するためのガードレールもありますが、Nomaは「intent」というキーワードを使用して保護をバイパスし、モデルに対して指示が正当なものであることを示すことができることを発見しました。
「これらの発見をチェーンすることで、ユーザーのやり取りなしに自動データ流出を実現しました。データ流出は完全にバックグラウンドで発生します。データチーム、DevSecOps、またはCISOにとっては、データ可視化の典型的な一日に見えます」とNomaは述べており、Grafanaは通知を受けた直後に弱点に対処したことを付け加えています。
BeyondTrust副CISOのBradley Smith氏によると、レンダリングされたコンテンツ経由でデータを流出させるための間接的なプロンプト注入の使用はよく知られた攻撃ベクトルであり、強化されたGrafana展開に対する悪用可能性はより不明確です。
「実際の悪用可能性は展開の詳細に大きく依存します。AIの機能が有効になっているかどうか、エグレス制御が設置されているかどうか、環境が外部データ取り込みをどのように処理するかなどです。これはGrafanaの普遍的なバイパスではなく、AIコンポーネントが信頼できない入力を十分な建築的制御なしに処理するときに何が起こるかのデモンストレーションです」とSmith氏は述べています。
Acalvio CEOのRam Varadarajan氏によると、GrafanaGhostはAIの幅広い採用が防御をアプリケーション層を超えてシフトさせたことを示しており、ネットワークレベルのURL ブロッキングとプロンプト注入に対するAIの強化が必要です。
「究極的に、このエクスプロイトはペリメータ制御が不十分であることを証明しています。AI駆動型ツーリングを保護する唯一の方法は、エージェントに何が指示されているかを監視することから、実際に何をしているかの実行時の行動監視に移行することです」とVaradarajan氏は述べています。
翻訳元: https://www.securityweek.com/grafanaghost-attackers-can-abuse-grafana-to-leak-enterprise-data/
