Los investigadores de seguridad de Noma Security han revelado una nueva vulnerabilidad a la que llaman GrafanaGhost, un exploit capaz de robar silenciosamente datos confidenciales de entornos Grafana encadenando múltiples desvíos de seguridad, incluido un método que elude las barreras del modelo de IA de la plataforma sin requerir ninguna interacción del usuario.

Grafana se implementa ampliamente en organizaciones empresariales como un centro central para la observabilidad y el monitoreo de datos, y generalmente alberga métricas financieras en tiempo real, datos sobre el estado de la infraestructura, registros privados de clientes y telemetría operativa, entre otros usos. Esa concentración de información confidencial es lo que convierte a la plataforma en un objetivo importante. GrafanaGhost aprovecha cómo los componentes de inteligencia artificial de Grafana procesan la entrada controlada por el usuario para cerrar la brecha entre un entorno de datos privados y un servidor externo controlado por un atacante.

El ataque no requiere credenciales de inicio de sesión y no depende de que el usuario haga clic en un enlace malicioso. Comienza cuando un atacante crea una ruta URL específica utilizando parámetros de consulta que se originan fuera del entorno de la organización víctima. Debido a que Grafana maneja registros de entrada, un atacante puede obtener acceso a un entorno empresarial al que no tiene una conexión legítima. Luego, el atacante inyecta instrucciones ocultas que la IA de Grafana procesa (una táctica conocida como inyección rápida) utilizando palabras clave específicas para hacer que el modelo ignore sus propias barreras de seguridad.

Grafana tiene protecciones integradas diseñadas para evitar la inyección rápida, pero los investigadores de Noma encontraron una falla en la lógica subyacente a esa protección, una que podría explotarse formateando una dirección web de una manera que el control de seguridad de Grafana interpretara erróneamente como segura, mientras que el navegador la tratara como una solicitud a un servidor externo controlado por el atacante. La brecha entre lo que el control de seguridad creía que estaba permitiendo y lo que realmente sucedió fue suficiente para abrir la puerta al ataque.

El último obstáculo fue el propio instinto de autodefensa del modelo de IA. Cuando los investigadores intentaron por primera vez pasar instrucciones maliciosas, el modelo reconoció el patrón y se negó. Después de estudiar más a fondo cómo el modelo procesaba diferentes tipos de entradas, encontraron una palabra clave específica que provocó que se retirara, tratando lo que efectivamente era una instrucción de ataque como una solicitud rutinaria y legítima.

Con las tres circunvalaciones colocadas, el ataque se ejecuta por sí solo. La IA procesa la instrucción maliciosa, intenta cargar una imagen desde el servidor del atacante y, al hacerlo, transporta silenciosamente los datos confidenciales de la víctima junto con esa solicitud en una etiqueta de imagen. Los datos desaparecen antes de que alguien en la organización sepa que se realizó una solicitud.

Los investigadores de Noma notaron que había múltiples capas de seguridad presentes en la implementación de Grafana, pero cada una contenía su propia debilidad explotable. La lógica de validación del dominio, las barreras del modelo de IA y los controles de seguridad del contenido fallaron cuando se abordaron en secuencia.

Debido a que el exploit se activa mediante una inyección indirecta en lugar de un enlace sospechoso o una intrusión obvia, no hay nada que un usuario pueda notar, ningún error de acceso denegado que un administrador pueda encontrar y ningún evento anómalo que un equipo de seguridad deba investigar. Para un equipo de datos, un ingeniero de DevSecOps o un CISO, la actividad es indistinguible de los procesos rutinarios.

«La carga útil se encuentra dentro de lo que parece una fuente de datos externa legítima. La exfiltración ocurre a través de un canal que la propia IA inicia, lo que parece un comportamiento normal de la IA para cualquier observador. Las reglas SIEM tradicionales, las herramientas DLP y el monitoreo de endpoints no están diseñados para interrogar si la llamada saliente de una IA fue instruida por un usuario o por un mensaje inyectado», dijo a CyberScoop Sasi Levi, líder de investigación de vulnerabilidades en Noma Labs. «Sin una protección en tiempo de ejecución que entienda el comportamiento específico de la IA, monitoreando lo que se le preguntó al modelo, lo que recuperó y las acciones que tomó, este ataque sería efectivamente invisible».

El ataque es otro ejemplo de un cambio más amplio en la forma en que los adversarios abordan los entornos empresariales que tienen funciones integradas asistidas por IA. En lugar de explotar el código de aplicación roto en el sentido tradicional, los atacantes apuntan cada vez más a superficies de seguridad de IA débiles y métodos de inyección rápida indirecta que les permiten acceder y extraer activos de datos críticos mientras permanecen completamente invisibles para los equipos de seguridad responsables de protegerlos.

nomá ha encontrado problemas similares durante el año pasadoy Levi le dijo a CyberScoop que los investigadores siguen viendo la misma brecha fundamental: las funciones de IA se están incorporando a plataformas que nunca fueron diseñadas teniendo en mente modelos de amenazas específicos de IA.

«La superficie de ataque no es un firewall mal configurado o una biblioteca sin parches, sino que es la utilización como arma del propio razonamiento y comportamiento de recuperación de la IA. Estas plataformas confían demasiado implícitamente en el contenido que ingieren», dijo Levi.

La investigación es otro ejemplo de cómo los atacantes pueden convertir la IA en un arma de una manera que las defensas actuales no pueden seguir, lo que hace extremadamente difícil para los defensores mantener el ritmo.

“Los investigadores ofensivos y, cada vez más, los actores de amenazas sofisticados están muy por delante de la mayoría de los defensores empresariales en esto”, dijo Levi. «Los marcos, las firmas de detección y los manuales de respuesta a incidentes para ataques nativos de IA simplemente no existen a escala todavía. Lo que nos da cierto optimismo es que la conciencia está creciendo rápidamente, pero la conciencia y la preparación son cosas muy diferentes».

Grafana Labs fue notificado a través de protocolos de divulgación responsable, trabajó con Noma para validar los hallazgos y emitió una solución.