關鍵詞

攻擊者正在積極利用 OpenAI 的 ChatGPT 基礎設施中的一個服務器端請求偽造（SSRF）漏洞。該漏洞被標識為 CVE-2024-27564，盡管其被歸類為中等嚴重程度，但已成為一個重大威脅。

根據網絡安全公司 Veriti 的研究，這個漏洞已在眾多實際攻擊中被利用，這表明威脅行為者即便面對中等程度的安全漏洞，也能設法攻破復雜的人工智能系統。

大規模的攻擊利用

這些攻擊的規模尤其令人擔憂。Veriti 的研究發現，僅在一周內，就有超過 10479 次攻擊嘗試來自一個惡意 IP 地址。這些數字表明，存在一場針對使用 OpenAI 技術的組織的協同且持續的攻擊行動。美國遭受的攻擊最為集中，占比 33%，德國和泰國各占 7%。

主要攻擊實施情況

其他受影響的地區包括印度尼西亞、哥倫比亞和英國，這表明了該威脅的全球范圍。研究人員在報告中指出：“這種攻擊模式表明，任何漏洞都不容小覷 —— 攻擊者會利用他們能找到的任何弱點?！?攻擊趨勢顯示，2025 年 1 月攻擊數量激增，隨后在 2 月和 3 月有所下降，這可能表明攻擊者改變了策略，或者是受到了安全措施的影響。

服務器端請求偽造漏洞

CVE-2024-27564 被歸類為服務器端請求偽造漏洞，攻擊者可借此將惡意 URL 注入輸入參數。這種技術迫使 ChatGPT 應用程序代表攻擊者發出非預期的請求。服務器端請求偽造漏洞通常在用戶輸入數據被用于創建請求而未進行適當驗證時出現。在這種情況下，攻擊者可以操縱參數來控制來自其他服務器甚至同一服務器的請求。

該漏洞明確影響 ChatGPT 的 pictureproxy.php 組件，相關情況在提交記錄 f9f4bbc 中得以識別。通過操縱 “url” 參數，攻擊者可以發起任意請求，有可能繞過安全控制。

風險因素詳情

受影響產品：ChatGPT（提交記錄 f9f4bbc 中的 pictureproxy.php 組件）、OpenAI 的 ChatGPT 基礎設施

影響：發出任意請求、暴露敏感信息

利用前提：可進行遠程利用

CVSS 3.1 評分：6.5（中等）

金融機構已成為此次攻擊行動的主要目標。銀行和金融科技公司高度依賴人工智能驅動的服務和 API 集成，這使它們特別容易受到服務器端請求偽造攻擊。這些組織面臨潛在后果，包括數據泄露、未經授權的交易、監管處罰以及嚴重的聲譽損害。

建議

或許最令人擔憂的是，在分析的組織中，35% 由于其入侵預防系統（IPS）、Web 應用防火墻（WAF）和傳統防火墻配置錯誤而未得到保護。安全專家建議各組織立即實施以下幾種緩解策略：

1.審查并糾正 IPS、WAF 和防火墻配置，以確保針對 CVE-2024-27564 的防護。

2.實施嚴格的輸入驗證，防止惡意 URL 注入。

3.監控日志，查找來自已知惡意 IP 地址的攻擊嘗試。

4.考慮進行網絡分段，隔離處理 URL 獲取的組件。

5.在風險評估流程中優先關注人工智能相關的安全漏洞。

這一事件再次表明，國家支持的和犯罪性質的威脅行為者越來越多地將人工智能系統作為惡意攻擊目標。正如最近一份報告所披露的，自 2024 年初以來，攻擊者已在 20 多起事件中試圖濫用 ChatGPT 進行有害活動。對 CVE-2024-27564 的利用強烈警示我們，即便中等嚴重程度的漏洞，一旦被堅決的攻擊者利用，也可能帶來重大風險。

來源：https://cybersecuritynews.com/chatgpt-vulnerability-actively-exploited/

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！