微軟 Azure 雲端平台上的健康機器人服務驚傳安全漏洞!網路安全公司 Tenable 的研究人員發現,Azure 健康機器人存在多個權限提升漏洞,可能導致病患個資外洩。
Azure 健康機器人服務是什麼?
Azure 健康機器人服務讓醫療機構可以建立和部署 AI 驅動的虛擬健康助理,例如與病患互動的聊天機器人,這些機器人可以連結外部資料來源,例如病患資訊入口網站或醫療參考數據庫。
漏洞可能導致駭客竊取病患個資
Tenable 的研究人員發現,Azure 健康機器人服務中的「資料連接」功能存在漏洞,駭客可以透過伺服器端請求偽造(SSRF)攻擊,取得管理權限,進而存取其他用戶的資源,包括病患個資。
研究人員利用「數據連接」功能和第三方請求 API 進行測試,發現系統在設定資料連結時,沒有做好安全防護。他們利用這個漏洞,假裝成合法用戶,騙過系統取得了更高的權限,就像拿到了一把萬能鑰匙,可以隨意開啟其他用戶的資料。更糟糕的是,他們甚至成功獲取了 Azure 內部元數據服務(IMDS)的訪問權,並獲得了管理 .azure.com 的訪問權杖,可以列出其他客戶的資源清單,這代表駭客也有可能利用同樣的漏洞竊取病患個資。
微軟已修復漏洞,呼籲用戶提高警覺
Tenable 在 2024 年 6 月和 7 月向微軟安全回應中心(MSRC)通報這些漏洞。微軟已在漏洞曝光後的一週內修復了受影響的環境,目前沒有任何跡象顯示這些漏洞被駭客利用。
微軟表示,已針對所有受影響的服務實施了緩解措施,用戶無需採取任何行動。然而,這次事件也凸顯出聊天機器人漏洞可能被駭客利用來竊取病患個資的風險。
AI 聊天機器人安全問題不容忽視
Tenable 的研究人員強調,隨著 AI 驅動的服務越來越普及,維護強大的網路應用程式和雲端安全控制措施相當重要。這次事件也顯示出安全社群在發現、揭露和修補漏洞方面的合作價值。
*本文開放合作夥伴轉載,資料來源:《Tenable》《Cybernews》首圖來源:Unsplash。
