Многобройни проблеми с повишаване на привилегиите в облачната услуга Health Bot на Microsoft Azure са открили възможност за фалшифициране на заявки от страна на сървъра (SSRF) и са могли да позволят достъп до ресурси на различни наематели.
Уязвимостите, идентифицирани от Tenable Research, бяха бързо поправени от Microsoft, но показват присъщи опасения относно рисковете, свързани с чатботовете, предупреждават изследователите.
Услугата Azure AI Health Bot Service дава възможност на здравните организации да създават свои собствени виртуални здравни асистенти, които да взаимодействат с пациентите и да управляват административните натоварвания. Те могат да интегрират всякакви вътрешни процеси и информация в тези работни натоварвания, което означава, че чатботовете потенциално имат привилегирован достъп до изключително чувствителна здравна информация.
„Рискът за всеки конкретен клиент на услугата „здравен бот“ зависи изцяло от информацията, която той е предоставил на услугата“, казва Джими Себри, старши щатен инженер-изследовател в Tenable.
Ако злонамерен хакер се е възползвал от проблемите, той е щял да получи възможности за управление на стотици ресурси, принадлежащи на други клиенти на Azure, предупреждава Tenable.
Според публикация в блога, публикувана днес, експлоатацията на грешките е позволила на изследователите да получат достъп до вътрешната услуга за метаданни на услугата (IMDS) и впоследствие да получат токени за достъп, позволяващи управлението на ресурси между наематели.
„Въз основа на нивото на предоставения достъп е вероятно да е било възможно странично движение към други ресурси в клиентските среди“, казва Себри. „Това е често срещано явление при подобни облачни услуги и са въведени предпазни мерки за предотвратяване на кръстосания достъп на наемателите. Уязвимостите, открити от Tenable Research, по същество представляват заобикаляне на тези предпазни мерки.“
Изследователите са установили, че проблемите засягат крайни точки в рамките на функцията Data Connections, която позволява на разработчиците да интегрират външни API, включително крайната точка, която поддържа формата за обмен на данни Fast Healthcare Interoperability Resources (FHIR).
Накратко, атаката е включвала конфигуриране на връзка за данни с помощта на злонамерен външен хост и настройването ѝ да отговаря на всякакви заявки от платформата с кодове за пренасочване 301 или 302, показващи, че уебстраницата е била трайно преместена. Тези отговори за пренасочване са били изпращани обратно към IMDS, който на свой ред е отговарял с метаданни, които са изтичали токените за достъп.
„Използването на тези проблеми беше тривиално и за експлоатацията не бяха необходими никакви предварителни познания извън общото използване на услугата Health Bot“, казва Себри.
Себри обяснява също така, че уязвимостите, подробно описани в анализа на Tenable за услугата health bot, показват рисковете, въведени при забързаните цикли на разработване и внедряване на тези интерактивни услуги.
„Вместо да дават приоритет на това да бъдат първи на пазара, предприятията трябва да отделят време, за да гарантират сигурността на своите продукти и на клиентите си“, казва Себри.
Според публикацията в блога на Tenable: „Уязвимостите пораждат опасения за това как чатботовете могат да бъдат използвани за разкриване на чувствителна информация. По-специално, уязвимостите са свързани с недостатък в основната архитектура на чатбот услугата, което подчертава значението на традиционната сигурност на уеб приложенията и облака в ерата на чатботовете с изкуствен интелект.“
Това е особено важно, като се има предвид, че световната здравна индустрия, която преминава през трансформационна вълна на цифровизация, както и на приемане и интегриране на приложения, задвижвани от изкуствен интелект, постоянно е цел на киберпрестъпниците поради изключително ценната лична информация, която съдържат здравните досиета.
За щастие, в момента се полагат усилия за укрепване на сигурността в здравеопазването в областта на облака и изкуствения интелект, както и извън нея. През май Агенцията за авангардни изследователски проекти в областта на здравеопазването (ARPA-H) обяви, че инвестира 50 млн. долара в своята програма Upgrade за повишаване на киберсигурността в здравеопазването чрез автоматизация, което ще позволи на доставчиците да се концентрират повече върху грижите за пациентите.
Доставчиците на здравни услуги и производителите на медицински изделия също се насърчават да подобрят сигурността на данните в медицинските изделия чрез по-тясно сътрудничество.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.