GrafanaGhost: Lỗ hổng nghiêm trọng cho phép rò rỉ dữ liệu doanh nghiệp thông qua thành phần AI

Nghiên cứu mới từ Noma Security đã tiết lộ một lỗ hổng trong cách xử lý thông tin của các thành phần AI trong Grafana, có thể cho phép kẻ tấn công vượt qua các biện pháp bảo vệ của ứng dụng và làm rò rỉ thông tin doanh nghiệp.

Grafana là ứng dụng mã nguồn mở phổ biến dùng để phân tích và trực quan hóa dữ liệu, thường được cấp quyền truy cập rộng rãi vào các dữ liệu quan trọng của doanh nghiệp như các chỉ số tài chính, cơ sở hạ tầng, thông tin khách hàng và dữ liệu đo từ xa (telemetry). Lỗ hổng mới được đặt tên là GrafanaGhost cho phép kẻ tấn công bypass các cơ chế bảo vệ phía máy khách và rào chắn an ninh, đồng thời liên kết dữ liệu riêng tư với các máy chủ bên ngoài, khiến thông tin nhạy cảm bị lộ trong nền mà không cần sự tương tác của người dùng.

Tấn công vào các hệ thống AI

Cơ chế hoạt động của cuộc tấn công

Kẻ tấn công có thể khai thác điểm yếu này bằng cách nhắm vào các khả năng dựa trên AI của Grafana khi người dùng tương tác với nhật ký hệ thống (entry log). Trong nền, một lời nhắc độc hại (malicious prompt) sẽ kích hoạt vấn đề, biến Grafana thành vòi rò rỉ dữ liệu.

Để thực hiện cuộc tấn công, tác nhân đe dọa cần tạo ra một đường dẫn trỏ đến các tài nguyên bên ngoài. Khi được Grafana xử lý, nhật ký nhập liệu sẽ cung cấp cho kẻ tấn công quyền truy cập vào môi trường doanh nghiệp. Tiếp theo, kẻ tấn công sử dụng một lời nhắc gián tiếp được ẩn trong ngữ cảnh bên ngoài, chỉ thị cho trợ lý AI của Grafana bỏ qua các rào chắn bảo mật và hiển thị một hình ảnh bên ngoài, buộc hệ thống phải chấp nhận một URL bên ngoài.

Khi cố gắng hiển thị hình ảnh, trợ lý AI sẽ gửi yêu cầu đến máy chủ của kẻ tấn công, đồng thời dữ liệu của nạn nhân được gửi đi kèm như một tham số URL. "Dữ liệu bị rò rỉ ngay khi hệ thống cố gắng hiển thị hình ảnh", Noma khẳng định.

Bỏ qua các lớp bảo vệ

Công ty an ninh mạng này phát hiện ra rằng kẻ tấn công có thể "giả mạo đường dẫn của bất kỳ công ty nào sử dụng Grafana" bằng cách đoán cấu trúc và mô hình dữ liệu. Hơn nữa, kẻ tấn công có thể sử dụng một vị trí nơi các lời nhắc sẽ được lưu trữ trong kho dữ liệu của ứng dụng.

Từ đó, chúng có thể lạm dụng Grafana để xả dữ liệu qua các thẻ hình ảnh bằng cách soạn thảo lời nhúc tương ứng. Mặc dù Grafana có các biện pháp bảo vệ ngăn chặn việc tải hình ảnh từ các tên miền bên ngoài, một lỗi trong hàm xác thực URL hình ảnh có thể được khai thác để bỏ qua lớp bảo vệ này.

Mô hình AI cũng có các rào chắn để ngăn chặn việc tiêm các lời nhắc chứa markdown hình ảnh, nhưng Noma phát hiện ra rằng từ khóa "intent" có thể được sử dụng để bỏ qua sự bảo vệ này và tín hiệu cho mô hình biết rằng hướng dẫn là hợp pháp.

Hậu quả và Khuyến nghị

Bằng cách xâu chuỗi các phát hiện này together, các nhà nghiên cứu đã đạt được việc xả dữ liệu tự động với sự tương tác bằng không của người dùng. Việc rò rỉ dữ liệu diễn ra hoàn toàn trong nền. Đối với đội ngũ dữ liệu, DevSecOps hoặc CISO, nó trông giống như một ngày bình thường của việc trực quan hóa dữ liệu. Noma lưu ý rằng Grafana đã khắc phục các điểm yếu này ngay sau khi được thông báo.

Bradley Smith, Phó CISO của BeyondTrust, cho biết việc sử dụng các lượt tiêm gián tiếp để rò rỉ dữ liệu thông qua nội dung được hiển thị là một vector tấn công đã được biết đến, nhưng tính khả thi khai thác đối với một triển khai Grafana được bảo vệ cẩn mật thì ít rõ ràng hơn.

"Tính khả thi khai thác thực tế phụ thuộc rất nhiều vào chi tiết triển khai; liệu các tính năng AI có được bật hay không, liệu các kiểm soát egress (đi ra) có được áp dụng hay không, và cách môi trường xử lý việc tiêu thụ dữ liệu bên ngoài. Đây không phải là một sự bypass phổ quát của Grafana; mà là một minh chứng cho những gì có thể xảy ra khi các thành phần AI xử lý đầu vào không đáng tin cậy mà không có đủ các kiểm soát kiến trúc xung quanh chúng", Smith nói.

Theo Ram Varadarajan, CEO của Acalvio, GrafanaGhost minh họa rằng việc áp dụng rộng rãi AI đã chuyển dịch các lớp phòng thủ ra ngoài lớp ứng dụng, đòi hỏi phải chặn URL ở cấp mạng và làm cứng AI chống lại việc tiêm lệnh.

"Cuối cùng, khai thác này chứng minh rằng các kiểm soát biên giới là không đủ. Cách duy nhất để bảo mật các công cụ dẫn động bởi AI là chuyển từ việc giám sát việc một tác nhân được nói gì sang thực hiện giám sát hành vi thời gian chạy (runtime behavioral monitoring) những gì nó thực sự làm", Varadarajan nhận định.