Studi Baru Mengungkap Kerentanan Model Text-to-SQL yang Memungkinkan Pencurian Data dan Serangan DoS

-

Studi Baru Mengungkap Kerentanan Model Text-to-SQL yang Memungkinkan Pencurian Data dan Serangan DoS

Jan 09, 2023 | Ravie Lakshmanan | Database Security / PLM Framework


Menggunakan model Text-to-SQL untuk menghasilkan kode berbahaya, sekelompok akademisi telah mengembangkan teknik inovatif yang mungkin digunakan oleh musuh untuk mengumpulkan data rahasia dan meluncurkan serangan denial-of-service (DoS).

Menurut Xutan Peng, seorang peneliti di University of Sheffield, "berbagai aplikasi basis data memanfaatkan pendekatan AI yang dapat mengubah pertanyaan manusia menjadi kueri SQL (khususnya Text-to-SQL) untuk lebih terlibat dengan pengguna."

"Kami menemukan bahwa cracker dapat mengelabui model Text-to-SQL untuk membuat kode berbahaya dengan mengajukan beberapa pertanyaan yang dibuat dengan cerdik. Karena kode ini berjalan secara otomatis di database, hasilnya bisa sangat buruk (seperti pelanggaran data dan penolakan-of- serangan layanan)."

Hasilnya mewakili contoh empiris pertama di mana model pemrosesan bahasa alami (NLP) telah digunakan sebagai vektor serangan di tempat terbuka, dan mereka divalidasi terhadap dua produk komersial BAIDU-UNIT dan AI2sql.

Serangan kotak hitam mirip dengan kelemahan injeksi SQL karena menyertakan muatan berbahaya dalam pertanyaan masukan yang disalin ke kueri SQL yang dibuat dan menyebabkan hasil yang tidak diharapkan.

Studi ini menemukan bahwa muatan yang dirancang khusus dapat dipersenjatai untuk mengeksekusi kueri SQL berbahaya, yang memungkinkan penyerang mengubah basis data backend dan meluncurkan serangan DoS terhadap server.

Selain itu, kelas serangan kedua melihat kemungkinan merusak berbagai model bahasa pra-terlatih (PLM), yang merupakan model yang telah dilatih dengan banyak data tanpa memperhatikan kasus penggunaan yang digunakan. untuk menyebabkan pembuatan perintah jahat sebagai respons terhadap pemicu tertentu.

Para peneliti mencatat bahwa ada banyak cara untuk memperkenalkan pintu belakang ke dalam kerangka kerja berbasis PLM dengan menodai sampel pelatihan, termasuk penggantian kata, pembuatan petunjuk unik, dan modifikasi gaya kalimat.

Dengan tingkat keberhasilan 100% dan tanpa dampak kinerja, serangan pintu belakang pada empat model sumber terbuka terpisah (BART-BASE, BART-LARGE, T5-BASE, dan T5-3B) dilakukan menggunakan korpus yang tercemar sampel berbahaya. Akibatnya, masalah seperti itu sulit diidentifikasi dalam pengaturan praktis.

Para peneliti mengusulkan penerapan standar rekayasa perangkat lunak yang kuat, mengevaluasi model siap pakai untuk menghindari kerentanan rantai pasokan, dan menerapkan pengklasifikasi untuk memeriksa string yang mencurigakan dalam input.


Author : www.khadiqdhoc.eu.org

#khadiqdhoc #khadiqdhoc #khadiqdhoc #khadiqdhoc  #khadiqdhoc #khadiqdhoc  #khadiqdhoc #khadiq

Komentar

Posting Komentar

Postingan populer dari blog ini

CISA mengingatkan adanya serangan aktif yang memanfaatkan kelemahan Fortra MFT, TerraMaster NAS, dan driver Intel.

-
Gambar
CISA mengingatkan adanya serangan aktif yang memanfaatkan kelemahan Fortra MFT, TerraMaster NAS, dan driver Intel. Ravie Lakhsmanan Pada hari Jumat, Katalog Kerentanan yang Dieksploitasi (KEV) diperbarui oleh Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) untuk mencakup tiga kerentanan, karena adanya bukti penyalahgunaan yang berkelanjutan. Salah satu dari tiga kerentanan yang baru ditambahkan adalah CVE-2022-24990, yang merupakan kesalahan yang memengaruhi perangkat TNAS yang dibuat oleh TerraMaster. Kerentanan ini dapat memungkinkan penyerang untuk menjalankan kode dari jarak jauh tanpa otentikasi dan dengan hak istimewa paling tinggi. Pada Maret 2022, Octagon Networks, sebuah perusahaan riset keamanan siber Ethiopia, mengungkapkan informasi tentang kerentanan tersebut. Pelaku peretas negara bagian Korea Utara dilaporkan menggunakan kerentanan tersebut untuk menargetkan entitas perawatan kesehatan dan infrastruktur kritis dengan ransomware, sesuai dengan peringat...
Baca selengkapnya

BLUEBOTTLE Cybercrime Group Memangsa Sektor Keuangan di Negara-negara Afrika yang Berbahasa Perancis

-
Gambar
BLUEBOTTLE Cybercrime Group Memangsa Sektor Keuangan di Negara-negara Afrika yang Berbahasa Perancis Ravie Lakshmanan Dari setidaknya Juli 2022 hingga September 2022, kelompok kejahatan dunia maya yang dikenal sebagai Bluebottle telah dikaitkan dengan serangkaian serangan yang ditargetkan pada sektor keuangan di negara-negara Afrika berbahasa Prancis. "Grup ini secara ekstensif menggunakan peralatan hidup-di-luar-tanah, alat penggunaan ganda, dan malware komoditas, tanpa malware khusus yang digunakan dalam kampanye ini," Symantec, sebuah divisi dari Broadcom Software, mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News. Menurut perusahaan keamanan siber, aktivitas tersebut tumpang tindih dengan klaster ancaman yang dikenal sebagai OPERA1ER, yang melakukan lusinan serangan terhadap bank, layanan keuangan, dan perusahaan telekomunikasi di Afrika, Asia, dan Amerika Latin antara tahun 2018 dan 2022. Atribusi didasarkan pada kesamaan dalam perangkat yang digunaka...
Baca selengkapnya