Обнаружение новых уязвимостей, позволяющих повышать привилегии в сервисе Vertex AI от Google, служит суровым напоминанием для руководителей служб ИБ (CISO) о том, что управление агентами ИИ-сервисов — это задача, не имеющая аналогов в их прежнем опыте.
В четверг компания XM Cyber сообщила о двух различных проблемах в Vertex AI, где конфигурации по умолчанию позволяют пользователям с низкими привилегиями переходить к ролям Агентов Сервиса (Service Agent) с более высокими полномочиями. Однако, по её данным, Google заявила, что система просто «работает, как задумано».
«OWASP Agentic Top 10 только что кодифицировал злоупотребление идентификацией и привилегиями как ASI03, и Google немедленно предоставила нам практический пример», — заявил Рок Ламброс, генеральный директор компании в сфере безопасности RockCyber. «Мы это уже видели. Orca обнаружила повышение привилегий в Azure Storage, Microsoft назвала это „по замыслу“. Aqua выявила пути горизонтального перемещения в AWS SageMaker, AWS заявила, что это „работает, как ожидалось“. Облачные провайдеры превратили „совместную ответственность“ в щит от ответственности за собственные небезопасные настройки по умолчанию. CISO должны перестать верить, что „управляемый“ означает „защищённый“, и начать аудит каждой идентификации сервиса, связанной с их рабочими нагрузками ИИ, поскольку вендоры явно не делают этого за вас».
Санчит Вир Гогиа, главный аналитик Greyhound Research, отметил, что этот отчёт — «окно в то, как модель доверия, лежащая в основе Vertex AI от Google, фундаментально расходится с принципами корпоративной безопасности». По его словам, «в этих платформах управляемые агенты сервисов получают широкие разрешения, чтобы функции ИИ работали из коробки. Но это удобство достигается ценой видимости и контроля. Эти идентификаторы сервисов работают в фоновом режиме, несут привилегии в рамках всего проекта и могут быть использованы любым пользователем, который понимает, как ведёт себя система».
Google не ответила на запрос о комментарии.
XM Cyber объяснила в своём отчёте, что уязвимости кроются в том, как распределяются привилегии между различными ролями, связанными с Vertex AI. «Ключевую роль здесь играют Агенты Сервиса: специальные учётные записи, создаваемые и управляемые Google Cloud, которые позволяют сервисам получать доступ к вашим ресурсам и выполнять внутренние процессы от вашего имени. Поскольку эти невидимые управляемые идентификаторы необходимы для функционирования сервисов, им часто автоматически предоставляются широкие разрешения в рамках всего проекта», — говорится в сообщении. «Эти уязвимости позволяют злоумышленнику с минимальными привилегиями захватить высокопривилегированных Агентов Сервиса, фактически превращая эти невидимые управляемые идентификаторы в двойных агентов, способствующих повышению привилегий. Когда мы раскрыли находки Google, их обоснованием было то, что сервисы в настоящее время „работают, как задумано“».
XM Cyber обнаружила, что лицо, имеющее контроль над учётной записью даже с минимальными привилегиями, соответствующими роли Vertex AI «Viewer» (самый низкий уровень привилегий), при определённых обстоятельствах может манипулировать системой для получения токена доступа агента сервиса и использования его привилегий в проекте.
Гогиа счёл эту проблему тревожной. «Когда облачный провайдер заявляет, что пользователь с низкими привилегиями может захватить высокопривилегированную идентификацию сервиса, и это „работает, как задумано“, на самом деле он говорит, что ваша модель управления подчинена их архитектуре», — сказал он. «Это структурный недостаток проектирования, который наделяет властью компоненты, о существовании которых большинство клиентов даже не догадывается».
Не ждите, пока сработают вендоры
Консультант по кибербезопасности Брайан Левин, исполнительный директор FormerGov, также выразил обеспокоенность. «Разумный шаг для CISO — немедленно внедрить компенсирующие меры контроля, поскольку ожидание, пока вендоры переопределят „преднамеренное поведение“, не является стратегией безопасности», — отметил он.
Флавио Вилланустре, CISO группы LexisNexis Risk Solutions, предупредил: «Злонамеренный инсайдер может использовать эти слабости, чтобы предоставить себе больше доступа, чем разрешено по умолчанию». Но, по его словам, «мало что можно сделать для смягчения риска, кроме, возможно, ограничения радиуса поражения путём сокращения области аутентификации и введения надёжных границ безопасности между ними». Однако «это может иметь побочный эффект в виде значительного увеличения затрат, поэтому это также может оказаться некоммерчески жизнеспособным вариантом».
Гогиа считает, что главный риск заключается в том, что эти бреши, скорее всего, останутся незамеченными, поскольку инструменты корпоративной безопасности не запрограммированы на их поиск.
«У большинства предприятий нет мониторинга поведения агентов сервисов. Если одна из этих идентификаций будет скомпрометирована, это не будет выглядеть как действия атакующего. Это будет выглядеть как штатная работа платформы», — сказал Гогиа. «Вот что делает риск серьёзным. Вы доверяете компонентам, которые не можете наблюдать, ограничивать или изолировать без фундаментального пересмотра своей облачной архитектуры. Большинство организаций логируют действия пользователей, но игнорируют то, что платформа делает внутри. Это должно измениться. Вам нужно отслеживать своих агентов сервисов так, как если бы они были привилегированными сотрудниками. Создавайте оповещения о неожиданных запросах в BigQuery, доступе к хранилищу или поведении сессий. Злоумышленник будет выглядеть как агент сервиса, поэтому именно на этом и должно быть сосредоточено обнаружение».
Он добавил: «Организации доверяют коду, который выполняется под идентификаторами, которые они не понимают, выполняет действия, которые они не отслеживают, в средах, которые они считают безопасными. Это хрестоматийное определение невидимого риска. И оно усиливается в средах ИИ, поскольку рабочие нагрузки ИИ часто охватывают несколько сервисов, перекрёстно ссылаются на конфиденциальные наборы данных и требуют оркестровки, которая затрагивает всё — от логов до API».
Это не первый случай, когда Vertex AI от Google оказывается уязвим для атак с повышением привилегий: в ноябре 2024 года Palo Alto Networks опубликовала отчёт, обнаруживший аналогичные проблемы в среде Google Vertex AI — проблемы, которые, как заявила Google компании Palo Alto, были исправлены на тот момент.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman
