Istraživač je objavio detalje nedavno zakrpljene ChatGPT ranjivosti koja je mogla da izloži dio infrastrukture u cloudu na kojoj se zasniva ovaj AI četbot.
Jakob Krut, bug bounty istraživač i bezbjednosni inženjer u Open Security, otkrio je ranjivost dok je radio na kreiranju prilagođenog GPT-a — personalizovane verzije ChatGPT-a namijenjene određenoj svrsi ili oblasti ekspertize.
Ranjivost je pronašao u dijelu „Actions“, gdje korisnici definišu kako custom GPT može da komunicira sa spoljašnjim servisima preko API-ja. Funkcija se oslanjala na URL-ove koje unosi korisnik, a koji nisu bili pravilno validirani, što je napadaču omogućavalo da izvede SSRF napad.
SSRF ranjivosti se mogu iskoristiti uz posebno kreirane URL-ove koji primoravaju server da šalje neautorizovane zahtjeve ka internim mrežnim resursima do kojih napadač inače ne bi mogao da dođe.
U ChatGPT-ovom slučaju, Krut je uspio da iskoristi propust kako bi upitao lokalni endpoint povezan sa Azure Instance Metadata Service (IMDS), komponentom Azure clouda koja se koristi za konfiguraciju i upravljanje aplikacijama.
IMDS identitet autentifikuje servis prema drugim resursima. Dobijanjem access tokena IMDS identiteta koji koristi ChatGPT, istraživač bi mogao da dobije pristup cloud infrastrukturi OpenAI-a.
Ranjivost je prijavljena OpenAI-u preko njihovog bug bounty programa na BugCrowd platformi. Prema riječima istraživača, dobila je oznaku „velike ozbiljnosti“ i brzo je zakrpljena.
Nije poznato da li je isplaćena nagrada. OpenAI je u maju počeo da nudi do 100.000 dolara za kritične ranjivosti, ali je prosječna isplata u protekla tri mjeseca bila manja od 800 dolara, a najveća javno objavljena nagrada od maja iznosila je 5.000 dolara.
„Ova SSRF ranjivost u ChatGPT Custom GPT Actions je školski primjer toga kako mali propusti u validaciji na nivou frameworka mogu da se pretvore u izloženost čitavog cloud okruženja i ističe ozbiljnost ovog napadnog vektora, koji se često zanemaruje“, rekao je Kristofer Džes, senior menadžer za R&D u kompaniji Black Duck.
„SSRF je u OWASP Top 10 od 2021. upravo zbog ovakvog potencijalnog obima štete: jedan server-side zahtjev može da se proširi na interne servise, metadata endpointove i privilegovane cloud identitete“, dodao je Džes.
Izvor: SecurityWeek