Търсене
Close this search box.

Многобройни проблеми с повишаване на привилегиите в облачната услуга Health Bot на Microsoft Azure са открили възможност за фалшифициране на заявки от страна на сървъра (SSRF) и са могли да позволят достъп до ресурси на различни наематели.

Уязвимостите, идентифицирани от Tenable Research, бяха бързо поправени от Microsoft, но показват присъщи опасения относно рисковете, свързани с чатботовете, предупреждават изследователите.

Услугата Azure AI Health Bot Service дава възможност на здравните организации да създават свои собствени виртуални здравни асистенти, които да взаимодействат с пациентите и да управляват административните натоварвания. Те могат да интегрират всякакви вътрешни процеси и информация в тези работни натоварвания, което означава, че чатботовете потенциално имат привилегирован достъп до изключително чувствителна здравна информация.

„Рискът за всеки конкретен клиент на услугата „здравен бот“ зависи изцяло от информацията, която той е предоставил на услугата“, казва Джими Себри, старши щатен инженер-изследовател в Tenable.

Чатботове на Azure и достъп между наематели

Ако злонамерен хакер се е възползвал от проблемите, той е щял да получи възможности за управление на стотици ресурси, принадлежащи на други клиенти на Azure, предупреждава Tenable.

Според публикация в блога, публикувана днес, експлоатацията на грешките е позволила на изследователите да получат достъп до вътрешната услуга за метаданни на услугата (IMDS) и впоследствие да получат токени за достъп, позволяващи управлението на ресурси между наематели.

„Въз основа на нивото на предоставения достъп е вероятно да е било възможно странично движение към други ресурси в клиентските среди“, казва Себри. „Това е често срещано явление при подобни облачни услуги и са въведени предпазни мерки за предотвратяване на кръстосания достъп на наемателите. Уязвимостите, открити от Tenable Research, по същество представляват заобикаляне на тези предпазни мерки.“

Изследователите са установили, че проблемите засягат крайни точки в рамките на функцията Data Connections, която позволява на разработчиците да интегрират външни API, включително крайната точка, която поддържа формата за обмен на данни Fast Healthcare Interoperability Resources (FHIR).

Накратко, атаката е включвала конфигуриране на връзка за данни с помощта на злонамерен външен хост и настройването ѝ да отговаря на всякакви заявки от платформата с кодове за пренасочване 301 или 302, показващи, че уебстраницата е била трайно преместена. Тези отговори за пренасочване са били изпращани обратно към IMDS, който на свой ред е отговарял с метаданни, които са изтичали токените за достъп.

„Използването на тези проблеми беше тривиално и за експлоатацията не бяха необходими никакви предварителни познания извън общото използване на услугата Health Bot“, казва Себри.

Прибързаното разработване на ИИ е рисковано

Себри обяснява също така, че уязвимостите, подробно описани в анализа на Tenable за услугата health bot, показват рисковете, въведени при забързаните цикли на разработване и внедряване на тези интерактивни услуги.

„Вместо да дават приоритет на това да бъдат първи на пазара, предприятията трябва да отделят време, за да гарантират сигурността на своите продукти и на клиентите си“, казва Себри.

Според публикацията в блога на Tenable: „Уязвимостите пораждат опасения за това как чатботовете могат да бъдат използвани за разкриване на чувствителна информация. По-специално, уязвимостите са свързани с недостатък в основната архитектура на чатбот услугата, което подчертава значението на традиционната сигурност на уеб приложенията и облака в ерата на чатботовете с изкуствен интелект.“

Това е особено важно, като се има предвид, че световната здравна индустрия, която преминава през трансформационна вълна на цифровизация, както и на приемане и интегриране на приложения, задвижвани от изкуствен интелект, постоянно е цел на киберпрестъпниците поради изключително ценната лична информация, която съдържат здравните досиета.

За щастие, в момента се полагат усилия за укрепване на сигурността в здравеопазването в областта на облака и изкуствения интелект, както и извън нея. През май Агенцията за авангардни изследователски проекти в областта на здравеопазването (ARPA-H) обяви, че инвестира 50 млн. долара в своята програма Upgrade за повишаване на киберсигурността в здравеопазването чрез автоматизация, което ще позволи на доставчиците да се концентрират повече върху грижите за пациентите.

Доставчиците на здравни услуги и производителите на медицински изделия също се насърчават да подобрят сигурността на данните в медицинските изделия чрез по-тясно сътрудничество.

 

Източник: DARKReading

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
03/10/2024

Microsoft представя Copilot...

Във вторник Microsoft представи нов инструмент...
30/09/2024

„Петте очи“ публикуват ръко...

Правителствени агенции от страните от инициативата...
21/09/2024

Windows Server 2025 ще се ...

Microsoft обяви днес, че Hotpatching вече...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!