Ciudad de México, agosto 2024.- Tenable, la empresa de gestión de exposición, ha revelado que su equipo de investigación, Tenable Research, ha descubierto una falla de alta gravedad en el servicio Azure Health Bot de Microsoft. Si se explotara, un actor malicioso podría haber obtenido capacidades de gestión para cientos de recursos pertenecientes a clientes de Azure.
El servicio Azure Health Bot es una plataforma en la nube que permite a los profesionales de la salud desplegar asistentes virtuales de salud impulsados por IA. Básicamente, el servicio permite a los proveedores de salud crear y desplegar chatbots orientados a los pacientes para manejar flujos de trabajo administrativos dentro de sus entornos. Para ello, estos chatbots tendrán acceso a cierta información sensible de los pacientes, aunque la información disponible puede variar según la configuración de cada bot.
La falla es múltiples problemas de escalamiento de privilegios en el servicio Azure Health Bot a través de una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF). Estos problemas permitieron a los investigadores acceder al servicio interno de metadatos (IMDS) y, posteriormente, obtener tokens de acceso que permitían la gestión de recursos entre diferentes inquilinos. Tenable Research informó inmediatamente a Microsoft sobre los problemas al darse cuenta de la naturaleza sensible de los datos a los que se podía acceder.
«Con base en el nivel de acceso otorgado, es probable que haya sido posible el movimiento lateral hacia otros recursos en los entornos de los clientes», explica Jimi Sebree, ingeniero de investigación senior de Tenable. «Las vulnerabilidades involucraban un fallo en la arquitectura subyacente del servicio de chatbot, en lugar de los modelos de IA en sí mismos. Esto resalta la importancia continua de los mecanismos tradicionales de seguridad de aplicaciones web y en la nube en esta nueva era de chatbots impulsados por IA».
Microsoft ha confirmado que se han aplicado mitigaciones para estos problemas en todos los servicios y regiones afectadas. No se requiere ninguna acción por parte de los clientes.
Más información, incluyendo los hallazgos técnicos del equipo y una prueba de concepto, ha sido publicada en el blog de Tenable y en el aviso técnico.
Sobre el investigador Jimi Sebree
Desde que se unió en 2014, Jimi ha asumido múltiples roles dentro de Tenable. Ha estado involucrado en la mayoría de los aspectos del ciclo de vida de los plugins en algún momento y ha sido responsable de la creación y el mantenimiento de varios marcos de trabajo fundamentales para los plugins. Antes de unirse al equipo de investigación de Zero Day, fue responsable del diseño, creación y lanzamiento de una iniciativa interna de automatización que sirve como fuente de datos principal para productos y flujos de trabajo dentro de Tenable.
Acerca de Tenable
Tenable® como la empresa de Exposure Management, expone y cierra las brechas de ciberseguridad que dañan el valor, la reputación y la confianza en su negocio. La plataforma de gestión de exposición basada en IA de la empresa unifica estratégicamente visibilidad, información y acciones relativas a la seguridad a lo largo de la superficie de ataque, para así proporcionar a las organizaciones modernas protección contra ataques que va desde su infraestructura de TI hasta sus entornos en la nube e infraestructura crítica, y todo lo que hay en medio. Al proteger a las empresas contra la exposición de seguridad, Tenable reduce el riesgo para los negocios de más de 44 000 clientes en todo el mundo. Obtenga más información en es-la.tenable.com.
