HackerNews 编译,转载请注明出处:
黑客正在积极利用OpenAI ChatGPT基础设施中的服务器端请求伪造(SSRF)漏洞(CVE-2024-27564)发起攻击。尽管该漏洞的严重程度被评为中等,但其带来的威胁已引发广泛关注。
据网络安全公司Veriti的研究,攻击者已经在多起真实攻击中利用该漏洞,证明即使是中等风险的安全缺陷,也可能成为攻击者突破AI系统防线的有效手段。
Veriti的研究数据显示,仅在一周内,已有10,479次攻击尝试来自恶意IP地址。这些攻击表现出高度协调性,目标多为使用OpenAI技术的机构。
美国是遭受攻击最严重的国家,占比高达33%。德国和泰国紧随其后,各占7%。此外,印度尼西亚、哥伦比亚和英国等国也报告了相关攻击事件,反映了这一威胁的全球性。
Veriti的研究人员指出:“此次攻击模式表明,即使是微小的漏洞也可能成为攻击者的目标。只要有机会,他们便会加以利用。”
攻击量在2025年1月急剧上升,随后在2月和3月略有回落,可能表明攻击者的策略有所调整,或是受到防御措施的影响。
CVE-2024-27564是一种服务器端请求伪造漏洞,允许攻击者在输入参数中注入恶意URL,从而迫使ChatGPT的应用程序在攻击者的指令下执行请求。
该漏洞通常发生在用户输入未经过适当验证时。在本次事件中,攻击者通过操控ChatGPT的pictureproxy.php组件中的url参数,发送任意请求,可能绕过安全控制。
风险概览
| 风险因素 | 详情 |
| 影响产品 | ChatGPT(commit f9f4bbc中的pictureproxy.php组件)OpenAI基础设施 |
| 影响 | 发送任意请求、暴露敏感信息 |
| 攻击条件 | 远程利用可能 |
| CVSS 3.1评分 | 6.5(中等) |
金融机构成为主要目标
在此次攻击中,银行和金融科技公司成为主要受害者。这类机构高度依赖AI驱动的服务和API集成,使其更容易受到SSRF攻击的侵害。
攻击可能导致数据泄露、未经授权的交易、合规性处罚以及声誉损害。
应对措施
令人担忧的是,Veriti发现35%的受影响机构由于入侵防护系统(IPS)、Web应用防火墙(WAF)和传统防火墙配置不当而未能有效防御此漏洞。
为应对此威胁,安全专家建议机构立即采取以下措施:
- 审查并修复IPS、WAF和防火墙配置,确保防御CVE-2024-27564。实施严格的输入验证,防止恶意URL注入。监控日志,检测来自已知恶意IP的攻击尝试。考虑网络分段,隔离处理URL请求的组件。在风险评估程序中优先关注与AI相关的安全漏洞。
近年来,国家支持的黑客组织和网络犯罪分子逐渐将AI系统作为攻击目标。根据最新报告,自2024年初以来,攻击者已在20多起事件中尝试滥用ChatGPT进行恶意活动。
消息来源:Cybersecurity News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
