Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 07 augustus 2024

Kwetsbaarheid in SAP AI Core maakte toegang tot interne gegevens mogelijk

Een kwetsbaarheid in SAP AI Core kan kwaadwillenden toegang geven tot gevoelige data van bedrijven. Ook konden aanvallers interne gegevens manipuleren, die via SAP AI Core hun weg konden vinden naar andere services van bedrijven en omgevingen van andere klanten.

Security Data protection Artificial intelligence
Kwetsbaarheid in SAP AI Core maakte toegang tot interne gegevens mogelijk image

Het probleem is ontdekt door Wiz, ontwikkelaar van een cloudgebaseerd securityplatform. Het trainen van AI vereist toegang tot grote hoeveelheden gevoelige klantgegevens. Dit maakt diensten voor het trainen van AI een aantrekkelijk doelwit van cybercriminelen. SAP AI Core beidt integraties met SAP HANA en andere clouddiensten, en geeft zo toegang tot interne data van klanten via cloud access keys. Deze inloggegevens zijn zeer gevoelig. Wiz onderzocht in hoeverre kwaadwillenden toegang kunnen krijgen tot deze sleutels.

Toegang tot privébestanden en inloggegevens

"Ons onderzoek naar SAP AI Core begon met het uitvoeren van legitieme AI-trainingsprocedures met behulp van de infrastructuur van SAP. Door willekeurige code uit te voeren konden we lateraal bewegen en de service overnemen, waardoor we toegang kregen tot de privébestanden van klanten en inloggegevens voor de cloudomgevingen van klanten: AWS, Azure, SAP HANA Cloud en meer. De kwetsbaarheden die we vonden, hadden aanvallers in staat kunnen stellen om toegang te krijgen tot de gegevens van klanten en interne artefacten te besmetten, waardoor ze zich konden verspreiden naar gerelateerde services en de omgevingen van andere klanten", schrijft Wiz in een blogpost.

De onderzoekers konden via de kwetsbaarheid onder meer:

  • Docker-images lezen en wijzigen op SAP's interne containerregister
  • Docker-images van SAP lezen en wijzigen op Google Container Registry
  • Artefacten lezen en wijzigen op SAP's interne Artifactory-server
  • Clusterbeheerdersrechten verkrijgen op SAP AI Core's Kubernetes-cluster
  • Toegang tot cloudreferenties en privé-AI-artefacten van klanten

De kwetsbaarheid is door Wiz in januari gemeld bij SAP, dat enkele weken later de kwetsbaarheden aanpakte. Wiz nam deze fix eveneens op de korrel, en wist via twee nieuwe kwetsbaarheden de geïntroduceerde maatregelen te omzeilen. Alle gerapporteerde kwetsbaarheden zijn in mei door SAP gedicht.

Meer informatie over het lek is hier beschikbaar.

DSD 28/11/2024 t/m 26/12/2024 BN + BW DIC Awards 5/12/2024 t/m 20/03/2025 BW

Dutch IT events

Event icon

Event

Dutch IT Channel Awards 2024 - 2025

Alle events
Bitdefender 16/12/2024 t/m 23/12/2024 BN + BW

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!