Falha no SAP AI Core poderia colocar dados sensíveis em risco
Grupos de investigadores de segurança revelaram recentemente ter descoberto uma vulnerabilidade nos sistemas SAP, mais concretamente no SAP AI Core, que pode permitir usar a funcionalidade de IA para aceder a dados de utilizadores e outras informações sensíveis.
A falha foi descoberta pela empresa de segurança Wiz, e apelidada de “SAPwned”, sendo que permite usar a AI Core para aceder à informação de forma direta. Segundo os investigadores, a falha pode permitir que os dados dos clientes sejam acedidos, e também outras informações propagadas para sistemas relacionados e outros ambientes dos clientes.
A falha foi inicialmente reportada de forma responsável a 25 de Janeiro de 2024, e corrigida pela SAP em 15 de Maio. Se explorada, a falha poderia permitir aceder a tokens da Amazon Web Services (AWS), Microsoft Azure, e SAP HANA Cloud que se encontravam nas contas dos clientes, e potencialmente, a dados existentes nessas plataformas.
Era ainda possível usar a mesma para adulterar imagens Docker da SAP, contendo alterações potencialmente maliciosas e que poderiam ser usadas para a recolha de dados e acessos persistente aos sistemas.
“Usando esse nível de acesso, um invasor pode aceder diretamente aos Pods de outros clientes e roubar dados confidenciais, como modelos, conjuntos de dados e código”, explicou Ben-Sasson. “Esse acesso também permite que invasores interfiram nos Pods dos clientes, contaminem dados de IA e manipulem a inferência dos modelos.”
Em parte, os investigadores apontam que a falha é possível de ser explorada porque a plataforma permite executar modelos de IA maliciosos sem os corretos meios de isolamento ou sandbox.
Tendo em conta que a falha foi, entretanto corrigida, e não terá sido tornada pública antes de tal, não se acredita que esta falha tenha sido ativamente usada para ataques, embora demonstre o potencial de problemas que poderiam surgir caso não fosse detetada a tempo.