首頁 > 安全研究 > 安全通報 > 安全簡訊

CVE-2024-27564漏洞:ChatGPT基礎設施面臨SSRF攻擊威脅

發布時間 2025-03-18

1. CVE-2024-27564漏洞:ChatGPT基礎設施面臨SSRF攻擊威脅


3月17日,網絡安全公司Veriti在其最新研究報告中揭示了OpenAI的ChatGPT基礎設施中存在的一個服務器端請求偽造(SSRF)漏洞,即CVE-2024-27564,盡管該漏洞被歸為中等嚴重程度,但在現實世界中已被積極利用。Veriti發現,一周內就有10,479次攻擊嘗試源自同一惡意IP地址。此外,35%的組織因安全系統配置錯誤而未能獲得充分保護,其中美國遭受的攻擊最為集中,占比33%,其次是德國和泰國,均為7%。攻擊活動在1月份激增,隨后有所下降。金融行業成為主要攻擊目標,因其嚴重依賴AI服務和API集成,易受SSRF攻擊威脅,可能導致數據泄露、未經授權的交易、監管處罰和聲譽損害。Veriti強調,不應忽視中等嚴重程度的漏洞,因為攻擊者會利用任何找到的弱點。研究指出,漏洞優先級排序不應僅依賴嚴重程度評分,攻擊趨勢可能迅速轉變,曾被認為無關緊要的漏洞可能成為攻擊媒介。因此,Veriti提供了積極利用此漏洞的IP地址列表,建議安全團隊立即檢查IPS、WAF和防火墻配置,積極監控日志,查找來自已識別惡意IP地址的攻擊嘗試,并在風險管理策略中優先評估與AI相關的安全漏洞,以減輕與CVE-2024-27564相關的風險。


https://hackread.com/hackers-exploit-chatgpt-cve-2024-27564-10000-attacks/


2. 微軟發現StilachiRAT木馬:逃避檢測竊取數據


3月17日,微軟近期發現了一種名為StilachiRAT的新型遠程訪問木馬,該惡意軟件采用復雜技術逃避檢測、保持持久性并竊取敏感數據,盡管尚未廣泛傳播,但微軟已公開分享入侵指標和緩解指導。StilachiRAT能從瀏覽器、數字錢包、剪貼板及系統中竊取信息,具有強大的偵察能力,如收集系統硬件信息、檢測攝像頭及RDP會話等。它還能通過Windows API提取Chrome憑據,監控剪貼板中的敏感信息,并利用Windows服務控制管理器獲得持久性。此外,StilachiRAT能冒充登錄用戶監控RDP會話,實現網絡中的橫向移動。該惡意軟件還具備檢測規避和反取證功能,如清除事件日志、檢查沙盒環境等。StilachiRAT可接受來自C2服務器的命令,執行重啟系統、清除日志、竊取憑據等操作。為減少攻擊面,微軟建議從官網下載軟件,并使用安全軟件阻止惡意域和附件。


https://www.bleepingcomputer.com/news/security/microsoft-new-rat-malware-used-for-crypto-theft-reconnaissance/


3. Lazarus黑客試圖洗錢后OKX暫停了DEX聚合器


3月17日,朝鮮 Lazarus 黑客組織近期實施了一起價值15億美元的加密貨幣盜竊案,這一事件引起了廣泛關注。作為全球領先的加密貨幣交易所之一,OKX 在此背景下決定暫停其去中心化交易所(DEX)聚合器服務,以進行安全升級。OKX在全球中心化交易所現貨交易市場份額約占8.0%,交易量巨大,位列行業前列。Lazarus組織試圖利用OKX的DEX服務清洗被盜的1億美元加密貨幣,此事甚至引發了歐盟監管機構的調查。盡管OKX否認了相關指控,并指出已凍結流入中心化交易所的相關資金,但公司仍決定采取行動,以防止服務被濫用。OKX在與監管機構協商后,主動暫停了DEX聚合器服務,并計劃推出識別和追蹤黑客相關地址的系統,同時在中心化交易所上實時封鎖這些地址。OKX正與區塊鏈探索者合作,以確保交易得到正確標記并提高安全性。這些措施旨在增強加密貨幣交易平臺的安全性、透明度和監管合規性。然而,目前尚不清楚Lazarus是否能繞過這些措施,或者朝鮮黑客是否會轉向其他安全標準較低的交易所。


https://www.bleepingcomputer.com/news/security/okx-suspends-dex-aggregator-after-lazarus-hackers-try-to-launder-funds/


4. tj-actions遭供應鏈攻擊,CI/CD機密泄露風險高


3月17日,廣泛使用的GitHub Action“tj-actions/changed-files”近期遭受了供應鏈攻擊,導致CI/CD機密可能從GitHub Actions構建日志中被竊取。該工具允許開發人員根據拉取請求或提交中更改的文件采取行動,常用于測試、工作流程觸發及代碼驗證。在2025年3月14日,攻擊者通過修改工具代碼并向多個版本標簽添加惡意提交,成功將CI/CD機密從Runner Worker進程轉儲到使用該操作的任何項目的存儲庫中。如果工作流日志可公開訪問,任何人都可以讀取和竊取這些暴露的機密。攻擊者還入侵了具有訪問該工具存儲庫特權的GitHub機器人(@tj-actions-bot)的個人訪問令牌(PAT),但入侵方式尚不清楚。GitHub隨后刪除了被入侵的操作,并恢復了存儲庫,但該漏洞對受影響的軟件項目產生了持久影響,并被分配了一個CVE ID(CVE-2025-30066)以便跟蹤。惡意代碼并未將內存輸出泄露到遠程服務器,而是使其在可公開訪問的存儲庫中可見。為了防止類似泄露,tj-actions存儲庫進行了更新,提供了受影響用戶需要執行的操作說明,GitHub也建議將所有GitHub Actions ping到特定的提交哈希而不是版本標簽,并使用允許列表功能來阻止未經授權/不受信任的GitHub Actions。


https://www.bleepingcomputer.com/news/security/supply-chain-attack-on-popular-github-action-exposes-ci-cd-secrets/


5. 新型加密挖掘活動利用錯誤配置Jupyter Notebook攻擊


3月15日,近期,一種新型加密挖掘活動被發現,該活動利用錯誤配置的Jupyter Notebooks針對Windows和Linux系統。攻擊者通過暴露的Jupyter Notebook實例執行命令,嘗試安裝惡意軟件。對于Windows系統,攻擊會下載一個包含名為“Binary.freedllbinary”的64位可執行文件的MSI安裝程序,該執行文件會加載名為“java.exe”的輔助有效負載,實際上是一個使用UPX打包的惡意二進制文件,用于從多個存儲庫中檢索名為“x2.dat”的加密blob。對于Linux系統,攻擊會下載一個bash腳本,該腳本會檢索兩個ELF二進制文件并設置cronjobs以確保持久性。攻擊者采用復雜的加密技術隱藏其有效載荷,目標包括Monero、Sumokoin、ArQma等多種加密貨幣。Cado安全實驗室指出,此次活動代表了一種以前從未報道過的加密挖掘攻擊的新載體。組織應實施強身份驗證,禁用對Jupyter實例的公共訪問,并定期監控云環境中的異?;顒?,以減輕這些攻擊。


https://cybersecuritynews.com/hackers-attacking-exposed-jupyter-notebooks/


6. Apache Tomcat RCE漏洞(CVE-2025-24813)被積極利用


3月17日,Apache Tomcat中存在一個嚴重的遠程代碼執行(RCE)漏洞(CVE-2025-24813),攻擊者可通過簡單的PUT請求接管服務器。漏洞披露僅30小時后,GitHub上就發布了概念驗證(PoC)漏洞,黑客已開始利用該漏洞。Wallarm安全研究人員證實,由于PUT請求看似正常且惡意內容使用base64編碼混淆,傳統安全工具難以檢測。攻擊者發送包含base64編碼序列化Java有效負載的PUT請求保存到Tomcat會話存儲中,再發送帶有指向會話文件的JSESSIONID cookie的GET請求,迫使Tomcat反序列化并執行惡意代碼,無需身份驗證。該漏洞由于Tomcat接受部分PUT請求及默認會話持久性引起,影響多個Tomcat版本。Apache已發布補丁,建議用戶升級至已修補版本,并通過恢復默認servlet配置、關閉部分PUT支持及避免將安全敏感文件存儲在公共上傳路徑的子目錄中來緩解問題。Wallarm警告,攻擊者將轉變策略,上傳惡意JSP文件、修改配置并在會話存儲之外植入后門,這只是第一波攻擊。


https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks/

上一篇 下一篇