網(wǎng)絡(luò)安全公司Veriti在其最新研究報(bào)告中指出，OpenAI的ChatGPT基礎(chǔ)設(shè)施正在遭受一個(gè)漏洞的積極利用。該研究重點(diǎn)關(guān)注了CVE-2024-27564漏洞，它是一個(gè)服務(wù)器端請求偽造（SSRF）漏洞，盡管被歸類為中等嚴(yán)重性，但已在現(xiàn)實(shí)場景中被積極武器化。

攻擊規(guī)模與影響范圍

Veriti的調(diào)查揭示了令人擔(dān)憂的發(fā)現(xiàn)。其中一個(gè)顯著的特點(diǎn)是攻擊嘗試的數(shù)量：僅一個(gè)惡意IP地址在一周內(nèi)就發(fā)起了10,479次攻擊嘗試。

此外，研究還發(fā)現(xiàn)，35%的組織由于安全系統(tǒng)配置不當(dāng)（包括入侵防御系統(tǒng)（IPS）、Web應(yīng)用防火墻（WAF）和傳統(tǒng)防火墻）而未能得到充分保護(hù)。

此次攻擊具有全球性影響，美國遭受的攻擊最為集中，占比33%，其次是德國和泰國，各占7%。其他受影響的地區(qū)包括印度尼西亞、哥倫比亞和英國。下圖展示了攻擊趨勢隨時(shí)間的變化：1月份攻擊活動(dòng)激增，隨后在2月和3月有所下降。

（來源：Veriti）

金融行業(yè)成主要目標(biāo)

研究特別指出，金融行業(yè)是這些攻擊的主要目標(biāo)。這是因?yàn)殂y行和金融科技公司對AI驅(qū)動(dòng)服務(wù)和API集成的依賴度較高，這使得它們?nèi)菀资艿絊SRF攻擊的威脅，攻擊者可能借此危害內(nèi)部資源和敏感數(shù)據(jù)。

金融機(jī)構(gòu)可能面臨的后果包括數(shù)據(jù)泄露、未經(jīng)授權(quán)的交易、監(jiān)管處罰以及巨大的聲譽(yù)損害。此外，研究人員強(qiáng)調(diào)了一個(gè)關(guān)鍵點(diǎn)：“任何漏洞都不應(yīng)被忽視，攻擊者會利用他們發(fā)現(xiàn)的任何弱點(diǎn)?！彼麄冎赋?，忽略中等嚴(yán)重性漏洞可能是代價(jià)高昂的錯(cuò)誤，尤其是對這些高價(jià)值組織而言。

漏洞優(yōu)先級不應(yīng)僅依賴嚴(yán)重性評分

通常，在安全實(shí)踐中，優(yōu)先處理的是關(guān)鍵和高嚴(yán)重性的漏洞。然而，Veriti的研究表明，攻擊者具有機(jī)會主義性質(zhì)，會利用他們遇到的任何弱點(diǎn)，無論其嚴(yán)重性排名如何。因此，漏洞的優(yōu)先級不應(yīng)僅依賴于嚴(yán)重性評分，因?yàn)楣糈厔菘赡軙杆僮兓?jīng)被認(rèn)為不重要的漏洞可能成為首選的攻擊媒介。

緩解措施建議

Veriti還識別了一組積極利用該漏洞的IP地址，為安全團(tuán)隊(duì)提供了寶貴的情報(bào)。為了緩解與CVE-2024-27564相關(guān)的風(fēng)險(xiǎn)，研究人員建議安全團(tuán)隊(duì)立即審查其IPS、WAF和防火墻配置。他們還應(yīng)主動(dòng)監(jiān)控日志，檢測來自已識別惡意IP地址的攻擊嘗試，并在其風(fēng)險(xiǎn)管理策略中優(yōu)先評估與AI相關(guān)的安全缺口。