Chiński ChatGPT wektorem ataku

W pierwszej połowie marca firma zajmująca się cyberbezpieczeństwem Veriti poinformowała, że hakerzy wykorzystują roczną lukę w zabezpieczeniach w chińskim ChacieGPT, głównie przeciwko podmiotom finansowym i organizacjom rządowym USA.

Błąd, sklasyfikowany jako CVE-2024-27564, jest problemem o średnim stopniu ryzyka i dotyczy pliku pictureproxy.php. Umożliwia atakującym wstrzykiwanie spreparowanych adresów URL w parametrze url i przez to zmuszanie aplikacji do wysyłania dowolnych żądań.

Zgłoszona we wrześniu 2023 r. i publicznie ujawniona rok temu luka może zostać wykorzystana bez uwierzytelniania i od jakiegoś czasu ma publicznie dostępny kod exploita proof-of-concept (PoC).

Według Veriti co najmniej jeden podmiot zagrażający dodał exploit dla CVE-2024-27564 do swojego arsenału i zaczął sondować Internet w poszukiwaniu podatnych aplikacji.

W ciągu jednego tygodnia firma zajmująca się cyberbezpieczeństwem zaobserwowała ponad 10 000 prób ataków pochodzących z jednego adresu IP. Veriti ostrzega, że około 30% organizacji będących celem ataków jest potencjalnie narażonych z powodu błędnych konfiguracji w swoich rozwiązaniach zabezpieczających.

Większość ataków była wymierzona w organizacje w USA, głównie w sektor rządowy i finansowy, ale firmy finansowe i opieki zdrowotnej w Niemczech, Tajlandii, Indonezji, Kolumbii i Wielkiej Brytanii również były celem.

„Banki i firmy fintech są uzależnione od usług opartych na sztucznej inteligencji i integracji API, co czyni je podatnymi na ataki SSRF, które uzyskują dostęp do zasobów wewnętrznych lub kradną poufne dane” – zauważa Veriti.

Mimo że jest to problem o średniej wadze, CVE-2024-27564 stał się wektorem ataku w praktyce, a organizacje powinny zająć się nim tak szybko, jak to możliwe. Zainteresowani powinni również sprawdzić swoje systemy zapobiegania włamaniom i zapory sieciowe pod kątem wszelkich błędnych konfiguracji i monitorować logi pod kątem znanych adresów IP atakujących.

„Ignorowanie luk o średnim stopniu zagrożenia jest kosztownym błędem, szczególnie w przypadku organizacji finansowych o dużej wartości” – podsumowuje Veriti.