Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) identificada um ano atrás em uma ferramenta ChatGPT de terceiros está sendo explorada principalmente contra entidades financeiras e organizações governamentais dos EUA.

A ferramenta afetada é chamada ChatGPT, mas não é a feita pela OpenAI. Em vez disso, é uma ferramenta de código aberto criada por um desenvolvedor chinês, projetada para fornecer uma interface para interagir com o serviço ChatGPT gen-AI.

O bug, rastreado como CVE-2024-27564, é um problema de gravidade média que afeta o arquivo pictureproxy.php. Ele permite que os invasores injetem URLs criadas no parâmetro url e forcem o aplicativo a fazer solicitações arbitrárias.

Relatada em setembro de 2023 e divulgada publicamente há um ano, a falha pode ser explorada sem autenticação e tem código de exploração de prova de conceito (PoC) disponível publicamente há algum tempo. Pelo menos um agente de ameaça adicionou uma exploração para CVE-2024-27564 ao seu arsenal e começou a sondar a internet em busca de aplicativos vulneráveis.

Em uma única semana, foram observadas mais de 10.000 tentativas de ataque vindas de um único endereço IP. Aproximadamente um terço das organizações visadas estão potencialmente em risco de exploração devido a configurações incorretas em suas soluções de proteção.

A maioria dos ataques tinha como alvo organizações nos EUA, principalmente no setor governamental e financeiro. Empresas financeiras e de saúde na Alemanha, Tailândia, Indonésia, Colômbia e Reino Unido também foram visadas. Os bancos e empresas de fintech dependem de serviços baseados em IA e integrações de API, o que os torna vulneráveis ​​a ataques SSRF que acessam recursos internos ou roubam dados confidenciais.

Para saber mais sobre, clique aqui.