Microsoft Azure’un bulut tabanlı Health Bot hizmetindeki birden fazla ayrıcalık yükseltme sorunu, platformu sunucu taraflı istek sahteciliğine (SSRF) açık hale getirdi ve kiracılar arası kaynaklara erişime izin vermiş olabilir.
Tenable Research tarafından tespit edilen güvenlik açıklarının Microsoft tarafından hızla düzeltildiği ancak araştırmacıların uyarısına göre, chatbot riskleri konusunda içsel endişeler barındırıyor.
Azure AI Health Bot Service, sağlık kuruluşlarının hastalarla etkileşime girmek ve idari iş yüklerini yönetmek için kendi sanal sağlık asistanlarını oluşturmalarını sağlar. Bu iş yüklerine her türlü dahili süreci ve bilgiyi entegre edebilirler, bu da sohbet robotlarının son derece hassas sağlık bilgilerine ayrıcalıklı erişime sahip olma potansiyeli anlamına gelir.
Tenable’da kıdemli araştırma mühendisi olan Jimi Sebree, “Sağlık botu hizmetinin herhangi bir müşterisi için risk tamamen hizmete sundukları bilgilere bağlıdır” diyor.
Azure Sohbet Robotları ve Kiracılar Arası Erişim
Tenable, kötü niyetli bir aktörün bu sorunları istismar etmesi durumunda, diğer Azure müşterilerine ait yüzlerce kaynağın yönetim yetkilerine sahip olacağı konusunda uyardı.
Birine göre blog yazısı Bugün yayınlanan bir rapora göre, hataların istismarı araştırmacıların servisin dahili meta veri servisine (IMDS) erişmesine ve sonrasında da kiracılar arası kaynakların yönetimine olanak sağlayan belirteçlere erişmesine olanak sağladı.
“Verilen erişim düzeyine dayanarak, müşteri ortamlarındaki diğer kaynaklara yatay geçişin mümkün olması muhtemeldir,” diyor Sebree. “Bu, bunun gibi bulut hizmetlerinde yaygındır ve kiracılar arası erişimi engellemek için güvenlik önlemleri alınır. Tenable Research tarafından keşfedilen güvenlik açıkları, esasen bu güvenlik önlemlerinin atlatılmasıdır.”
Araştırmacılar, sorunların uç noktaları etkilediğini buldular Veri Bağlantıları Geliştiricilerin, destekleyen uç nokta da dahil olmak üzere harici API’leri entegre etmelerine olanak tanıyan işlev Hızlı Sağlık Hizmetleri İş Birliği Kaynakları (FHIR) veri değişim formatı.
Özetle, saldırı kötü amaçlı bir harici ana bilgisayar kullanarak bir veri bağlantısı yapılandırmayı ve bunu platformdan gelen tüm sorgulara web sayfasının kalıcı olarak taşındığını belirten 301 veya 302 yönlendirme kodlarıyla yanıt verecek şekilde ayarlamayı içeriyordu. Bu yönlendirme yanıtları IMDS’ye geri gönderildi ve IMDS de erişim belirteçlerini sızdıran meta verilerle yanıt verdi.
Sebree, “Bu sorunların istismarı basitti ve istismar için sağlık botu hizmetinin genel kullanımının ötesinde herhangi bir ön bilgiye ihtiyaç yoktu” diyor.
Aceleyle yapılan AI geliştirme risklidir
Sebree ayrıca Tenable’ın sağlık botu hizmetine yönelik analizinde ayrıntılı olarak açıklanan güvenlik açıklarının, bu etkileşimli hizmetlerin aceleyle geliştirilmesi ve dağıtım döngülerinin getirdiği riskleri ortaya koyduğunu açıklıyor.
Sebree, “İşletmeler, pazara ilk giren olmayı önceliklendirmek yerine, ürün güvenliğini ve müşteri güvenliğini sağlamak için zaman ayırmaya öncelik vermeli” diyor.
Tenable blog yazısına göre, “Güvenlik açıkları, sohbet robotlarının hassas bilgileri ifşa etmek için nasıl kullanılabileceği konusunda endişelere yol açıyor. Özellikle, güvenlik açıkları sohbet robotu hizmetinin temel mimarisindeki bir kusuru içeriyordu ve bu da AI sohbet robotları çağında geleneksel Web uygulaması ve bulut güvenliğinin önemini vurguluyordu.”
Bu, özellikle dijitalleşmenin ve yapay zeka destekli uygulamaların benimsenmesi ve entegrasyonunun dönüşüm dalgasından geçen küresel sağlık sektörü göz önüne alındığında önemlidir. sürekli olarak siber suçluların hedefi haline geliyor nedeniyle son derece değerli kişisel bilgiler sağlık kayıtları içerir.
Neyse ki bulut ve yapay zeka alanında ve ötesinde sağlık güvenliğine yönelik çalışmalar devam ediyor. Mayıs ayında, Gelişmiş Araştırma Projeleri Sağlık Ajansı (ARPA-H) yatırım yaptığını duyurdu Yükseltme programına 50 milyon dolar otomasyon yoluyla sağlık hizmeti siber güvenliğini artırmak ve sağlayıcıların hasta bakımına daha fazla odaklanmasını sağlamak.
Sağlık hizmeti sağlayıcıları ve tıbbi cihaz üreticileri de teşvik ediliyor tıbbi cihazlarda veri güvenliğini iyileştirin daha yakın işbirliği yoluyla.
