Investigadores de ciberseguridad han revelado detalles de una vulnerabilidad de aislamiento de sesión crítica ahora parcheada en Escritoruna plataforma empresarial de inteligencia artificial (IA) generativa, que podría resultar en un compromiso entre inquilinos.
La vulnerabilidad de un clic ha recibido el nombre en clave Escribir por el equipo de investigación de seguridad de arena.
«Un extraño podría pasar de no tener acceso a hacerse cargo de cualquier organización de Writer AI dentro de empresas líderes en la industria, con nada más que un vínculo», dijo la empresa de ciberseguridad. dicho en un informe compartido con The Hacker News.
Dicho de otra manera, se podría abusar de la deficiencia para hacerse cargo de la cuenta de escritor de una víctima y usarla para acceder a chats privados, documentos y otros datos confidenciales relacionados con agentes, configuraciones, modelos privados, conectores y credenciales de modelos de lenguaje grande (LLM).
Peor aún, se podría abusar de él para tomar el control administrativo dependiendo del papel de la víctima. Un aspecto importante del fallo es que el atacante y la víctima no tienen por qué pertenecer a la misma organización.
Un atacante puede crear un agente en su propia cuenta de Writer y compartir un enlace de vista previa. Eso es todo lo que se necesita para activar la vulnerabilidad, esencialmente haciendo posible secuestrar la cuenta de una víctima que hace clic en el enlace y inicia sesión con su propia sesión.
«Un atacante puede abusar de la zona de pruebas administrada por la IA de Writer para recopilar sesiones que pertenecen a compañías completamente separadas y actuar dentro de cada una de ellas como un usuario real, sin ningún punto de apoyo previo en ninguna parte», dijo Sand Security.
WriteOut también socava el modelo de responsabilidad compartida, ya que rompe las protecciones de aislamiento de los inquilinos al aprovechar la ventaja de Writer. función de vista previa en vivo que permite a los usuarios obtener una vista previa de la aplicación a través de Writer Framework.
Toda la cadena de ataque se desarrolla de la siguiente manera:
- Un atacante crea un agente con una vista previa en vivo y comparte su enlace de vista previa pública.
- Cuando un usuario de Writer que ha iniciado sesión abre ese enlace, su navegador adjunta su cookie de sesión de Writer a la solicitud.
- El proxy de vista previa envía esa cookie al servidor del atacante. salvadera.
- El código contenido dentro del entorno limitado controlado por el atacante lee el token de sesión reenviado y se filtra.
- él.
- El atacante reproduce el token y obtiene el control de la cuenta de escritor de la víctima.
Debido a que un atacante puede indicarle a su agente malicioso prediseñado que ejecute código dentro de la zona de pruebas administrada y controlada, esto hace posible leer la memoria del proceso de la zona de pruebas, recuperar el token de sesión exfiltrado de la víctima y transmitirlo a un servidor que mantienen.
Luego de una divulgación responsable, Writer resolvió el problema impidiendo que la cookie de sesión del usuario se reenvíe por completo a las vistas previas de la zona de pruebas y moviéndolas a un origen aislado.
«El escritor no fue descuidado, había barreras de seguridad. El filtrado del lado de entrada intentó impedir que los usuarios leyeran variables de entorno o enviaran código obviamente malicioso», dijo Sand Security. «El problema es lo que observaron esas comprobaciones: las instrucciones, no el comportamiento en tiempo de ejecución».
«Eludir la barrera de seguridad fue bastante sencillo: en lugar de pegar la carga útil en línea, simplemente le dijimos al agente que buscara y ejecutara un script remoto. La barrera de seguridad vio una solicitud benigna de 'descargar y ejecutar', y la lógica de explotación real nunca apareció en el mensaje».





