imswebs

Des criminels détournent et revendent des infrastructures d'IA : rapport

Cybersecurité

Des criminels détournent et revendent des infrastructures d'IA : rapport

1view
0

Des criminels détournent et revendent des infrastructures d'IA : rapport

Depuis des années, les OSC s’inquiètent du fait que leur infrastructure informatique soit utilisée à des fins d’extraction de cryptomonnaies non autorisée. Aujourd’hui, disent les chercheurs, ils feraient mieux de commencer à s’inquiéter des criminels qui détournent et revendent l’accès à l’infrastructure d’IA d’entreprise exposée.

Dans un rapport publié mercredi, les chercheurs de Pillar Security affirment avoir découvert des campagnes à grande échelle ciblant les points de terminaison LLM et MCP exposés, par exemple un chatbot de support basé sur l'IA sur un site Web.

“Je pense que c'est alarmant”, a déclaré Ariel Fogel, co-auteur du rapport. “Ce que nous avons découvert est un véritable réseau criminel dans lequel des personnes tentent de voler vos informations d'identification, de voler votre capacité à utiliser LLM et vos calculs, puis de les revendre.”

“Cela dépend de votre application, mais elle devrait agir assez rapidement pour bloquer ce type de menace”, a ajouté le co-auteur Eilon Cohen. “Après tout, vous ne voulez pas que d'autres utilisent vos ressources coûteuses. Si vous déployez quelque chose qui a accès à des actifs critiques, vous devez agir maintenant.”

Kellman Meghu, directeur de la technologie de la société canadienne de réponse aux incidents DeepCove Security, a déclaré que cette campagne “ne fera que se développer et entraîner des impacts catastrophiques. Le pire est le faible niveau de connaissances techniques nécessaire pour exploiter cela”.

Quelle est l’ampleur de ces campagnes ? Au cours des deux dernières semaines seulement, les honeypots des chercheurs ont capturé 35 000 sessions d'attaque à la recherche d'infrastructures d'IA exposées.

“Il ne s'agit pas d'une attaque isolée”, a ajouté Fogel. “C'est une entreprise.” Il doute qu’il y ait un État-nation derrière cela ; Les campagnes semblent être menées par un petit groupe.

Les objectifs : voler des ressources informatiques pour les utiliser dans des demandes d'inférence LLM non autorisées, revendre l'accès aux API à des prix réduits sur des marchés criminels, extraire des données des fenêtres contextuelles LLM et de l'historique des conversations, et les transmettre aux systèmes internes via des serveurs MCP compromis.

Deux campagnes

Jusqu’à présent, les chercheurs ont identifié deux campagnes : l’une, appelée Operation Bizarre Bazaar, cible les LLM non protégés. L’autre campagne cible les points de terminaison du Model Context Protocol (MCP).

Il n’est pas difficile de trouver ces points finaux exposés. Les acteurs malveillants à l'origine de ces campagnes utilisent des outils familiers : les moteurs de recherche IP Shodan et Censys.

À risque : organisations exécutant une infrastructure LLM auto-hébergée (telle qu'Ollama, un logiciel qui traite une requête adressée au modèle LLM derrière une application ; vLLM, similaire à Ollama mais pour les environnements hautes performances ; et les déploiements d'IA sur site) ou celles déployant des serveurs MCP pour les intégrations d'IA.

Les objectifs comprennent :

  • points de terminaison exposés sur les ports par défaut des services d'inférence LLM courants ;
  • accès API non authentifié sans contrôles d'accès appropriés ;
  • environnements de développement/stade avec adresses IP publiques ;
  • Serveurs MCP qui connectent LLM aux systèmes de fichiers, aux bases de données et aux API internes.

Les erreurs de configuration courantes exploitées par ces acteurs malveillants incluent :

  • Ollama fonctionnant sur le port 11434 sans authentification ;
  • API compatibles OpenAI sur le port 8000 exposées à Internet ;
  • Serveurs MCP accessibles sans contrôle d'accès ;
  • développer/mettre en scène une infrastructure d’IA avec des adresses IP publiques ;
  • Points de terminaison de chatbot de production (support client, robots de vente) sans authentification ni limitation de débit.

George Gerchow, responsable de la sécurité chez Bedrock Data, a déclaré que l'opération Bizarre Bazaar « est un signe clair que les attaquants ont dépassé les abus LLM ponctuels et traitent désormais l'infrastructure d'IA exposée comme une surface d'attaque monétisable. Ce qui est particulièrement préoccupant n'est pas seulement l'utilisation informatique non autorisée, mais le fait que bon nombre de ces points de terminaison sont désormais liés au Model Context Protocol (MCP), la norme ouverte émergente pour connecter en toute sécurité de grands modèles de langage à des sources de données et des outils. actions, mais sans contrôles stricts, ces mêmes points d’intégration deviennent des vecteurs pivots dans les systèmes internes.

Les défenseurs devraient traiter les services d’IA avec la même rigueur que les API ou les bases de données, a-t-il déclaré, en commençant par l’authentification, la télémétrie et la modélisation des menaces au début du cycle de développement. « Alors que MCP devient essentiel aux intégrations modernes de l'IA, la sécurisation de ces interfaces de protocole, et pas seulement l'accès aux modèles, doit être une priorité », a-t-il déclaré.

Dans une interview, les auteurs du rapport Pillar Security, Eilon Cohen et Ariel Fogel, n'ont pas pu estimer combien de revenus les acteurs de la menace auraient pu réaliser jusqu'à présent. Mais ils préviennent que les OSC et les responsables de la sécurité de l’information feraient mieux d’agir rapidement, surtout si un LLM accède à des données critiques.

Leur rapport décrivait trois éléments de la campagne Bizarre Bazaar :

  • le scanner– Une infrastructure de robots distribués qui analyse systématiquement Internet à la recherche de points de terminaison d'IA exposés. Chaque instance Ollama exposée, chaque serveur vLLM non authentifié et chaque point de terminaison MCP accessible sont catalogués. Une fois qu'un point final apparaît dans les résultats de l'analyse, les tentatives d'exploitation commencent en quelques heures ;
  • le validateur: Une fois que les scanners ont identifié les cibles, l'infrastructure liée à un site criminel présumé valide les points de terminaison via des tests API. Au cours d'une fenêtre opérationnelle ciblée, l'attaquant a testé les clés API réservées, énuméré les capacités du modèle et évalué la qualité des réponses ;
  • le marché: Un accès à prix réduit à plus de 30 prestataires LLM est vendu sur un site appelé La passerelle API unifiée LLM. Il est hébergé sur une infrastructure pare-balles aux Pays-Bas et est commercialisé sur Discord et Telegram.

Jusqu’à présent, selon les chercheurs, ceux qui achètent l’accès semblent être des personnes qui construisent leur propre infrastructure d’IA et tentent d’économiser de l’argent, ainsi que des personnes impliquées dans les jeux en ligne.

Les auteurs de la menace ne volent peut-être pas seulement l’accès à l’IA à partir d’applications entièrement développées, ont ajouté les chercheurs. Un développeur essayant de prototyper une application et ne parvenant pas par inadvertance à sécuriser un serveur pourrait également être victime d'un vol d'informations d'identification.

Joseph Steinberg, un expert américain en intelligence artificielle et en cybersécurité, a déclaré que le rapport est un autre exemple de la manière dont les nouvelles technologies telles que l'intelligence artificielle créent de nouveaux risques et nécessitent de nouvelles solutions de sécurité au-delà des contrôles informatiques traditionnels.

Les OSC doivent se demander si leur organisation possède les compétences nécessaires pour mettre en œuvre et sécuriser un projet d’IA en toute sécurité, ou si le travail doit être sous-traité à un fournisseur possédant l’expertise nécessaire.

Atténuation

Pillar Security a déclaré que les OSC disposant de serveurs LLM et MCP externes devraient :

  • activer l'authentification sur tous les points de terminaison LLM. Exiger une authentification élimine les attaques opportunistes. Les organisations doivent vérifier qu'Ollama, vLLM et les services similaires nécessitent des informations d'identification valides pour toutes les demandes ;
  • auditer l'exposition du serveur MCP. Les serveurs MCP ne doivent jamais être accessibles directement depuis Internet. Vérifiez les règles de pare-feu, examinez les groupes de sécurité cloud, confirmez les exigences d'authentification ;
  • bloquer les infrastructures malveillantes connues. Ajoutez le sous-réseau 204.76.203.0/24 aux listes de refus. Pour la campagne de reconnaissance MCP, le bloc classe AS135377 ;
  • mettre en œuvre une limitation de vitesse. Arrêtez les tentatives d’exploitation explosives. Implémenter les règles WAF/CDN pour les modèles de trafic spécifiques à l'IA ;
  • audit d'exposition aux chatbots de production. Chaque chatbot, assistant commercial et agent IA interne en contact avec le client doit mettre en œuvre des contrôles de sécurité pour éviter les abus.

n'abandonne pas

Malgré la quantité d’informations l’année dernière sur les vulnérabilités de l’IA, Meghu a déclaré que la réponse n’est pas d’abandonner l’IA, mais de maintenir des contrôles stricts sur son utilisation. « Ne vous contentez pas de l'interdire, mettez-le en lumière et aidez vos utilisateurs à comprendre le risque, et travaillez également sur des moyens leur permettant d'utiliser l'IA/LLM d'une manière sûre qui profite à l'entreprise », a-t-il conseillé.

“Il est probablement temps de dispenser une formation spécifique sur l'utilisation et les risques de l'IA”, a-t-il ajouté. “Assurez-vous d'obtenir des commentaires des utilisateurs sur la manière dont ils souhaitent interagir avec un service d'IA, et assurez-vous de le soutenir et de le devancer. Le simple fait de l'interdire envoie les utilisateurs dans un domaine informatique fantôme, et l'impact de cela est trop effrayant pour risquer que des personnes se cachent. Acceptez-le et intégrez-le à vos communications et à votre planification avec vos employés. “

Source link

Like it? Share with your friends!

0

Posted by

log in

Captcha!
Forgot password?

forgot password

Back to
log in