Investigadores de ciberseguridad han revelado dos fallas de seguridad en la plataforma de aprendizaje autom\u00e1tico (ML) Vertex de Google que, si se explotan con \u00e9xito, podr\u00edan permitir a actores maliciosos escalar privilegios y exfiltrar modelos de la nube.<\/p>\n
“Al explotar los permisos de trabajo personalizados, pudimos aumentar nuestros privilegios y obtener acceso no autorizado a todos los servicios de datos del proyecto”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Ofir Balassiano y Ofir Shaty. dicho<\/a> en un an\u00e1lisis publicado a principios de esta semana.<\/p>\n “La implementaci\u00f3n de un modelo envenenado en Vertex AI provoc\u00f3 la exfiltraci\u00f3n de todos los dem\u00e1s modelos ajustados, lo que plantea un grave riesgo de ataque de exfiltraci\u00f3n de datos confidenciales y de propiedad privada”.<\/p>\n La IA de v\u00e9rtice es La plataforma de aprendizaje autom\u00e1tico de Google<\/a> para entrenar e implementar modelos de ML personalizados y aplicaciones de inteligencia artificial (IA) a escala. Se introdujo por primera vez en mayo de 2021.<\/p>\n Para aprovechar la falla de escalada de privilegios es crucial una caracter\u00edstica llamada Canalizaciones de IA de Vertex<\/a>que permite a los usuarios automatizar y monitorear los flujos de trabajo de MLOps para entrenar y ajustar modelos de ML mediante trabajos personalizados.<\/p>\n La investigaci\u00f3n de la Unidad 42 encontr\u00f3 que al manipular la cartera de trabajos personalizados, es posible aumentar los privilegios para obtener acceso a recursos que de otro modo estar\u00edan restringidos. Esto se logra mediante la creaci\u00f3n de un trabajo personalizado que ejecuta una imagen especialmente dise\u00f1ada para iniciar un shell inverso, otorgando acceso de puerta trasera al entorno.<\/p>\n El trabajo personalizado, seg\u00fan el proveedor de seguridad, se ejecuta en un proyecto de inquilino con una cuenta de agente de servicio que tiene amplios permisos para enumerar todos cuentas de servicio<\/a>administrar dep\u00f3sitos de almacenamiento y acceder a tablas de BigQuery, de las que luego se podr\u00eda abusar para acceder a los repositorios internos de Google Cloud y descargar im\u00e1genes.<\/p>\n La segunda vulnerabilidad, por otro lado, implica implementar un modelo envenenado en un proyecto de inquilino de modo que crea un shell inverso cuando se implementa en un punto final, abusando de los permisos de solo lectura de la cuenta de servicio de “predicci\u00f3n en l\u00ednea personalizada” para enumerar Kubernetes agrupa y recupera sus credenciales para ejecutar comandos kubectl arbitrarios.<\/p>\n “Este paso nos permiti\u00f3 pasar del \u00e1mbito de GCP a Kubernetes”, dijeron los investigadores. “Este movimiento lateral fue posible porque los permisos entre GCP y GKE estaban vinculados a trav\u00e9s de Federaci\u00f3n de identidades de cargas de trabajo de IAM<\/a>“.<\/p>\n El an\u00e1lisis encontr\u00f3 adem\u00e1s que es posible hacer uso de este acceso para ver la imagen reci\u00e9n creada dentro del cl\u00faster de Kubernetes y obtener la resumen de imagen<\/a> \u2013 que identifica de forma \u00fanica una imagen de contenedor \u2013 us\u00e1ndolos para extraer las im\u00e1genes fuera del contenedor usando cr\u00edtico<\/a> con el token de autenticaci\u00f3n asociado con la cuenta de servicio de “predicci\u00f3n en l\u00ednea personalizada”.<\/p>\n Adem\u00e1s de eso, el modelo malicioso tambi\u00e9n podr\u00eda usarse como arma para ver y exportar todos los modelos en lenguajes grandes (LLM<\/a>) y sus adaptadores ajustados<\/a> de manera similar.<\/p>\n Esto podr\u00eda tener graves consecuencias cuando un desarrollador, sin saberlo, implementa un modelo troyanizado subido a un repositorio p\u00fablico, lo que permite al actor de amenazas filtrar todo el aprendizaje autom\u00e1tico y los LLM ajustados. Tras una comunicaci\u00f3n responsable, Google ha solucionado ambas deficiencias.<\/p>\n “Esta investigaci\u00f3n destaca c\u00f3mo la implementaci\u00f3n de un \u00fanico modelo malicioso podr\u00eda comprometer todo un entorno de IA”, dijeron los investigadores. “Un atacante podr\u00eda utilizar incluso un modelo no verificado implementado en un sistema de producci\u00f3n para exfiltrar datos confidenciales, lo que provocar\u00eda graves ataques de exfiltraci\u00f3n de modelos”.<\/p>\n Se recomienda a las organizaciones implementar controles estrictos sobre las implementaciones de modelos y los permisos de auditor\u00eda necesarios para implementar un modelo en proyectos de inquilinos.<\/p>\n El desarrollo se produce cuando 0Day Investigative Network (0Din) de Mozilla revel\u00f3 que es posible interactuar con el entorno sandbox subyacente de OpenAI ChatGPT (“\/home\/sandbox\/.openai_internal\/”) a trav\u00e9s de indicaciones, otorgando la capacidad de cargar y ejecutar scripts de Python, mover archivos. e incluso descargar el manual del LLM.<\/p>\n Dicho esto, vale la pena se\u00f1alar que OpenAI considera tales interacciones como un comportamiento intencional o esperado, dado que la ejecuci\u00f3n del c\u00f3digo tiene lugar dentro de los l\u00edmites del sandbox y es poco probable que se extienda.<\/p>\n “Para cualquiera que desee explorar la zona de pruebas ChatGPT de OpenAI, es crucial comprender que la mayor\u00eda de las actividades dentro de este entorno en contenedores son caracter\u00edsticas previstas en lugar de brechas de seguridad”, dijo el investigador de seguridad Marco Figueroa. dicho<\/a>.<\/p>\n “Extraer conocimientos, cargar archivos, ejecutar comandos bash o ejecutar c\u00f3digo Python dentro del sandbox son juegos limpios, siempre y cuando no crucen las l\u00edneas invisibles del contenedor”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Los-investigadores-advierten-sobre-los-riesgos-de-escalada-de-privilegios.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n