- Bei der Überprüfung der externen Angriffsfläche von DeepSeek wurde eine ohne Authentifizierung offen erreichbare ClickHouse-Datenbank entdeckt; nach dem Hinweis sperrte DeepSeek die Offenlegung umgehend
- Die exponierten Endpunkte lagen auf den Ports 8123 und 9000 von oauth2callback.deepseek.com und dev.deepseek.com; von außen war die vollständige Kontrolle über die Datenbank und der Zugriff auf interne Daten möglich
- In der Tabelle
log_streambefanden sich mehr als 1 Million Log-Einträge, darunter Chatverläufe seit dem 6. Januar 2025, API Keys, Backend-Details und Betriebsmetadaten im Klartext - Über den Pfad
/playder ClickHouse-HTTP-Schnittstelle konnten im Browser beliebige SQL-Abfragen ausgeführt werden, doch Wiz Research beschränkte den Umfang der Einsichtnahme aus ethischen Gründen auf Enumeration - Beim schnellen Einsatz von AI-Services entstehen unmittelbare Risiken nicht nur durch das Modell selbst, sondern auch durch grundlegende Sicherheitsprobleme der Infrastruktur wie die versehentliche externe Offenlegung von Datenbanken
Ohne Authentifizierung offene DeepSeek-ClickHouse-Datenbank
- Wiz Research identifizierte eine öffentlich zugängliche ClickHouse-Datenbank, die zu DeepSeek gehörte
- Auf die Datenbank konnte ohne Authentifizierung zugegriffen werden; möglich war nicht nur die Einsicht in interne Daten, sondern auch die vollständige Kontrolle über Datenbankoperationen
- Zu den offengelegten Informationen gehörten Chatverläufe, API Keys, Backend-Details, Log-Streams und Betriebsdetails
- Wiz Research meldete das Problem umgehend an DeepSeek, und DeepSeek schloss die Offenlegung schnell
Untersuchung der externen Angriffsfläche und exponierte Endpunkte
- DeepSeek ist ein chinesisches AI-Startup, das zuletzt mit dem Inferenzmodell DeepSeek-R1 große Aufmerksamkeit erregt hat
- DeepSeek-R1 gilt als in der Leistung konkurrenzfähig zu führenden AI-Systemen wie OpenAIs o1
- Kosteneffizienz und Effizienz werden als zentrale Merkmale hervorgehoben
- Wiz Research untersuchte öffentliche Domains, um die externe Angriffsfläche von DeepSeek zu bewerten
- Durch passive und aktive Subdomain-Erkundung wurden rund 30 im Internet exponierte Subdomains identifiziert
- Die meisten davon wirkten zunächst nicht wie Hochrisiko-Exponierungen, sondern wie Chatbot-Oberflächen, Statusseiten oder API-Dokumentation
- Bei der Untersuchung über die Standard-HTTP-Ports 80/443 hinaus stellte sich heraus, dass die Ports 8123 und 9000 offen waren
- Die betroffenen Hosts waren oauth2callback.deepseek.com und dev.deepseek.com
SQL-Ausführung über den Pfad /play
- Die bestätigten Ports führten zu einer ohne Authentifizierung zugänglichen ClickHouse-Datenbank
- ClickHouse ist ein Open-Source-spaltenorientiertes Datenbankmanagementsystem, das für schnelle Analyseabfragen auf großen Datensätzen entwickelt wurde
- Entwickelt von Yandex
- Weit verbreitet für Echtzeit-Datenverarbeitung, Log-Speicherung und Big-Data-Analyse
- Über den Pfad
/playin der HTTP-Schnittstelle von ClickHouse konnten im Browser direkt beliebige SQL-Abfragen ausgeführt werden - Die Abfrage
SHOW TABLES;lieferte eine Liste der zugänglichen Datensätze zurück; darunter enthielt insbesondere die Tabellelog_streambesonders sensible Logs
Sensible Logs in log_stream
- Die Tabelle
log_streamenthielt mehr als 1 Million Log-Einträge - Die wichtigsten Spalten und offengelegten Informationen waren wie folgt
timestamp: Logs ab dem 6. Januar 2025span_name: Verweise auf verschiedene interne DeepSeek-API-Endpunktestring.values: Klartext-Logs mit Chatverläufen, API Keys, Backend-Details und Betriebsmetadaten_service: Kennzeichnet den DeepSeek-Service, der die Logs erzeugt hat_source: Legt die Herkunft der Log-Anfragen offen und umfasste Logs mit Chatverläufen, API Keys, Verzeichnisstruktur und Chatbot-Metadaten
- Dieses Zugriffsniveau hätte erhebliche Risiken sowohl für die Sicherheit von DeepSeek selbst als auch für Endnutzer schaffen können
- Angreifer hätten sensible Logs und tatsächliche Chatnachrichten im Klartext exfiltrieren können; je nach ClickHouse-Konfiguration wäre möglicherweise auch eine direkte Exfiltration von Klartext-Passwörtern, lokalen Dateien und proprietären Informationen vom Server über Abfragen wie
SELECT * FROM file('filename')möglich gewesen - Wiz Research führte aus ethischen Gründen keine invasiven Abfragen über die Enumeration hinaus aus
Tempo der AI-Einführung und Risiken für die Infrastruktursicherheit
- Die unmittelbaren Sicherheitsrisiken von AI-Anwendungen können eher aus der Infrastruktur und den Tools entstehen, die sie stützen, als aus dem Modell selbst
- Während sich die Diskussion um AI-Sicherheit auf zukünftige Bedrohungen konzentriert, müssen grundlegende Risiken wie die versehentliche externe Offenlegung von Datenbanken weiterhin oberste Priorität für Security-Teams haben
- Da Unternehmen AI-Tools und -Services verschiedener Startups und Anbieter schnell einführen, vertrauen sie diesen Firmen zunehmend sensible Daten an
- Das hohe Einführungstempo kann dazu führen, dass Security vernachlässigt wird; der Schutz von Kundendaten muss daher Priorität haben
- Security-Teams sollten eng mit AI-Ingenieuren zusammenarbeiten, um Sichtbarkeit in die eingesetzte Architektur, Tools und Modelle zu erhalten und so Datenlecks zu verhindern
- AI-Unternehmen wachsen schnell zu Anbietern kritischer Infrastruktur heran, oft ohne die Security-Frameworks, die üblicherweise mit breiter Einführung einhergehen; daher sind Security-Praktiken erforderlich, die dem Risiko beim Umgang mit sensiblen Daten entsprechen
Noch keine Kommentare.