En combinant l’injection indirecte d’invites avec des contournements côté client, les attaquants peuvent forcer Grafana à divulguer des données sensibles via des requêtes d’images de routine.
L’injection indirecte d’invites est possible sur les tableaux de bord basés sur l’IA, permettant l’exfiltration de données d’entreprise sensibles sans authentification de l’utilisateur.
Les chercheurs en sécurité mettent en garde contre un problème critique de Grafana, baptisé GrafanaGhost, qui permet aux attaquants de divulguer des données sensibles des environnements Grafana, notamment des mesures financières, des données sur l’état de l’infrastructure, des données de clients privés et des journaux opérationnels, entre autres.
Grafana est une plateforme open source de visualisation et d’observabilité de données largement utilisée qui permet aux organisations de surveiller les systèmes, les applications et les mesures commerciales en temps réel. « GrafanaGhost illustre parfaitement comment l’intégration de l’IA crée un énorme angle mort en matière de sécurité », a déclaré Ram Varadarajan, PDG d’Activio. « Parce que l’injection indirecte contourne les défenses traditionnelles, ne nécessitant aucune information d’identification ni interaction de l’utilisateur, elle permet aux attaquants d’exfiltrer silencieusement la télémétrie opérationnelle sensible. »
Tromper Grafana AI pour qu’il divulgue des données sensibles
GrafanaGhost n’est essentiellement pas un bug unique, mais un exploit en chaîne qui combine plusieurs contournements de la logique applicative et des garde-fous de l’IA.
L’attaque commence par l’identification d’un point d’injection, des emplacements où les entrées contrôlées par l’utilisateur peuvent être stockées puis traitées par les composants d’IA de Grafana. Les chercheurs du Noma ont découvert que des chemins spécialement conçus et intégrés à des invites indirectes pouvaient persister dans le système et être ensuite interprétés comme des entrées légitimes.
À partir de là, les attaquants utilisent des techniques d’injection indirecte d’invites pour manipuler l’IA afin qu’elle exécute des instructions malveillantes. Le modèle est amené à générer des requêtes incluant des données sensibles tout en interprétant les instructions comme étant inoffensives.
Dans une divulgation, Noma a déclaré que la principale avancée technique provenait du contournement des protections côté client conçues pour bloquer le chargement d’images externes. En exploitant une faille dans la validation des URL, en particulier en utilisant des URL relatives au protocole telles que //attacker.com, le système traite par erreur les ressources externes malveillantes comme étant sûres, autorisant ainsi les requêtes sortantes vers l’infrastructure de l’attaquant.
Enfin, l’attaque contourne les garde-fous de l’IA elle-même en insérant des mots-clés spécifiques, tels que INTENT, dans les invites pour convaincre le modèle que la demande était légitime. Une fois traité, le système tente de restituer une image, intégrant des données sensibles dans la requête envoyée au serveur de l’attaquant.
La chaîne permet efficacement une exfiltration de données automatisée et sans clic qui s’intègre dans le flux de travail normal du tableau de bord. Varadrajan l’a souligné, affirmant que les attaquants exploitent l’angle mort « en utilisant les composants du système exactement comme prévu, mais avec des instructions que le modèle ne peut pas vérifier comme étant malveillantes ».
Risque réel ou cas marginal surfait ?
Tout le monde n’est pas convaincu que cette découverte représente une nouvelle menace. Bradley Smith, vice-président directeur et RSSI adjoint chez BeyondTrust, a décrit la technique sous-jacente comme étant « bien documentée », notant que l’injection indirecte rapide conduisant à l’exfiltration de données constitue un risque connu sur les plateformes basées sur l’IA.
« Cela me semble être un battage publicitaire », a déclaré Smith, ajoutant que « ce qui est moins clair ici, c’est l’exploitabilité pratique par rapport à un déploiement Grafana renforcé avec des contrôles de réseau d’entreprise standard ».
Pourtant, Smith a reconnu les implications plus larges. « Il ne s’agit pas d’un contournement universel de Grafana », a-t-il déclaré. « C’est une démonstration de ce qui peut arriver lorsque des composants d’IA traitent des entrées non fiables sans contrôles architecturaux suffisants. » Identifier l’exposition à GrafanaGhost en vérifiant si les fonctionnalités Grafana AI/LLM sont activées, en appliquant les correctifs à la dernière version, en limitant « img-src » aux domaines connus et en appliquant des contrôles de sortie peuvent aider à se défendre contre l’exposition, a-t-il ajouté.
