1 Punkte von GN⁺ 2025-01-30 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Bei der Überprüfung der externen Angriffsfläche von DeepSeek wurde eine ohne Authentifizierung offen erreichbare ClickHouse-Datenbank entdeckt; nach dem Hinweis sperrte DeepSeek die Offenlegung umgehend
  • Die exponierten Endpunkte lagen auf den Ports 8123 und 9000 von oauth2callback.deepseek.com und dev.deepseek.com; von außen war die vollständige Kontrolle über die Datenbank und der Zugriff auf interne Daten möglich
  • In der Tabelle log_stream befanden sich mehr als 1 Million Log-Einträge, darunter Chatverläufe seit dem 6. Januar 2025, API Keys, Backend-Details und Betriebsmetadaten im Klartext
  • Über den Pfad /play der ClickHouse-HTTP-Schnittstelle konnten im Browser beliebige SQL-Abfragen ausgeführt werden, doch Wiz Research beschränkte den Umfang der Einsichtnahme aus ethischen Gründen auf Enumeration
  • Beim schnellen Einsatz von AI-Services entstehen unmittelbare Risiken nicht nur durch das Modell selbst, sondern auch durch grundlegende Sicherheitsprobleme der Infrastruktur wie die versehentliche externe Offenlegung von Datenbanken

Ohne Authentifizierung offene DeepSeek-ClickHouse-Datenbank

  • Wiz Research identifizierte eine öffentlich zugängliche ClickHouse-Datenbank, die zu DeepSeek gehörte
  • Auf die Datenbank konnte ohne Authentifizierung zugegriffen werden; möglich war nicht nur die Einsicht in interne Daten, sondern auch die vollständige Kontrolle über Datenbankoperationen
  • Zu den offengelegten Informationen gehörten Chatverläufe, API Keys, Backend-Details, Log-Streams und Betriebsdetails
  • Wiz Research meldete das Problem umgehend an DeepSeek, und DeepSeek schloss die Offenlegung schnell

Untersuchung der externen Angriffsfläche und exponierte Endpunkte

  • DeepSeek ist ein chinesisches AI-Startup, das zuletzt mit dem Inferenzmodell DeepSeek-R1 große Aufmerksamkeit erregt hat
    • DeepSeek-R1 gilt als in der Leistung konkurrenzfähig zu führenden AI-Systemen wie OpenAIs o1
    • Kosteneffizienz und Effizienz werden als zentrale Merkmale hervorgehoben
  • Wiz Research untersuchte öffentliche Domains, um die externe Angriffsfläche von DeepSeek zu bewerten
  • Durch passive und aktive Subdomain-Erkundung wurden rund 30 im Internet exponierte Subdomains identifiziert
    • Die meisten davon wirkten zunächst nicht wie Hochrisiko-Exponierungen, sondern wie Chatbot-Oberflächen, Statusseiten oder API-Dokumentation
  • Bei der Untersuchung über die Standard-HTTP-Ports 80/443 hinaus stellte sich heraus, dass die Ports 8123 und 9000 offen waren
    • Die betroffenen Hosts waren oauth2callback.deepseek.com und dev.deepseek.com

SQL-Ausführung über den Pfad /play

  • Die bestätigten Ports führten zu einer ohne Authentifizierung zugänglichen ClickHouse-Datenbank
  • ClickHouse ist ein Open-Source-spaltenorientiertes Datenbankmanagementsystem, das für schnelle Analyseabfragen auf großen Datensätzen entwickelt wurde
    • Entwickelt von Yandex
    • Weit verbreitet für Echtzeit-Datenverarbeitung, Log-Speicherung und Big-Data-Analyse
  • Über den Pfad /play in der HTTP-Schnittstelle von ClickHouse konnten im Browser direkt beliebige SQL-Abfragen ausgeführt werden
  • Die Abfrage SHOW TABLES; lieferte eine Liste der zugänglichen Datensätze zurück; darunter enthielt insbesondere die Tabelle log_stream besonders sensible Logs

Sensible Logs in log_stream

  • Die Tabelle log_stream enthielt mehr als 1 Million Log-Einträge
  • Die wichtigsten Spalten und offengelegten Informationen waren wie folgt
    • timestamp: Logs ab dem 6. Januar 2025
    • span_name: Verweise auf verschiedene interne DeepSeek-API-Endpunkte
    • string.values: Klartext-Logs mit Chatverläufen, API Keys, Backend-Details und Betriebsmetadaten
    • _service: Kennzeichnet den DeepSeek-Service, der die Logs erzeugt hat
    • _source: Legt die Herkunft der Log-Anfragen offen und umfasste Logs mit Chatverläufen, API Keys, Verzeichnisstruktur und Chatbot-Metadaten
  • Dieses Zugriffsniveau hätte erhebliche Risiken sowohl für die Sicherheit von DeepSeek selbst als auch für Endnutzer schaffen können
  • Angreifer hätten sensible Logs und tatsächliche Chatnachrichten im Klartext exfiltrieren können; je nach ClickHouse-Konfiguration wäre möglicherweise auch eine direkte Exfiltration von Klartext-Passwörtern, lokalen Dateien und proprietären Informationen vom Server über Abfragen wie SELECT * FROM file('filename') möglich gewesen
  • Wiz Research führte aus ethischen Gründen keine invasiven Abfragen über die Enumeration hinaus aus

Tempo der AI-Einführung und Risiken für die Infrastruktursicherheit

  • Die unmittelbaren Sicherheitsrisiken von AI-Anwendungen können eher aus der Infrastruktur und den Tools entstehen, die sie stützen, als aus dem Modell selbst
  • Während sich die Diskussion um AI-Sicherheit auf zukünftige Bedrohungen konzentriert, müssen grundlegende Risiken wie die versehentliche externe Offenlegung von Datenbanken weiterhin oberste Priorität für Security-Teams haben
  • Da Unternehmen AI-Tools und -Services verschiedener Startups und Anbieter schnell einführen, vertrauen sie diesen Firmen zunehmend sensible Daten an
  • Das hohe Einführungstempo kann dazu führen, dass Security vernachlässigt wird; der Schutz von Kundendaten muss daher Priorität haben
  • Security-Teams sollten eng mit AI-Ingenieuren zusammenarbeiten, um Sichtbarkeit in die eingesetzte Architektur, Tools und Modelle zu erhalten und so Datenlecks zu verhindern
  • AI-Unternehmen wachsen schnell zu Anbietern kritischer Infrastruktur heran, oft ohne die Security-Frameworks, die üblicherweise mit breiter Einführung einhergehen; daher sind Security-Praktiken erforderlich, die dem Risiko beim Umgang mit sensiblen Daten entsprechen

Noch keine Kommentare.

Noch keine Kommentare.