Grafana的消失【研究星期六】 笔记

Grafana的消失【研究星期六】

今天我们有幸邀请到 Noma Security 的安全研究主管 Sasi Levi,分享他们团队关于“GrafanaGhost:窃取您数据的幽灵”的研究成果。Noma Security 的研究人员披露了“GrafanaGhost”漏洞,该漏洞可能允许攻击者利用间接提示注入技术,悄无声息地从 Grafana 仪表板中窃取敏感的业务数据。此次攻击串联了多种绕过技术,包括协议相对 URL 和 AI 安全防护操纵,诱骗 Grafana 将敏感数据发送到攻击者控制的服务器,而无需用户交互。研究人员表示,这一缺陷凸显了与集成 AI 的企业平台相关的风险日益增长,攻击者越来越多地针对 AI 行为和薄弱的安全控制,而非传统的软件漏洞。研究报告和执行摘要可在以下链接找到:GrafanaGhost:窃取您数据的幽灵
CdXz5zHNQW_5JdePKbGos.jpeg