Los investigadores de seguridad de Veriti han descubierto una vulnerabilidad en el servidor conocida como falsificación de solicitudes del lado del servidor (SSRF, por sus siglas en inglés), con el identificador CVE-2024-27564 (CVSS: 6.5), que actualmente está siendo explotada activamente. Esta vulnerabilidad permite a los atacantes usar el componente “pictureproxy.php” de ChatGPT (ID de confirmación f9f4bbc), a través del parámetro “url”, para enviar solicitudes arbitrarias, evadiendo los controles de seguridad y controlando así los recursos especificados en las solicitudes de ChatGPT, lo que podría resultar en la filtración de información confidencial.
La falsificación de solicitudes del lado del servidor (SSRF) es una vulnerabilidad de seguridad en la red que permite a los atacantes aprovechar las funciones de solicitud de una aplicación para que el servidor envíe solicitudes maliciosas a recursos internos o externos no autorizados. Este tipo de ataque suele ocurrir cuando una aplicación permite a los usuarios proporcionar URL para solicitar recursos remotos, pero no realiza una verificación adecuada. Como resultado, los atacantes pueden utilizar esta vulnerabilidad para acceder a recursos internos de la empresa, evadir restricciones de IP y lanzar ataques a la red interna.
Esta vulnerabilidad está siendo aprovechada activamente por más de 10,000 direcciones IP y ha afectado a diversas organizaciones en todo el mundo. La industria más afectada es la financiera, y Estados Unidos es el país más afectado, con un 33% de los ataques. Otros países afectados incluyen Alemania y Tailandia, con un 7% cada uno. Además, también se han visto afectados sectores como el cuidado de la salud y las agencias gubernamentales. La Figura 1 muestra la distribución geográfica de los ataques detectados por Veriti a través de la vulnerabilidad CVE-2024-27564.
Aunque esta vulnerabilidad se considera de riesgo medio, las organizaciones afectadas se deben principalmente a la configuración incorrecta de sistemas de prevención de intrusos (IPS), firewalls de aplicaciones web (WAF) y firewalls. Las empresas suelen centrarse en parchear vulnerabilidades de alto riesgo y pasar por alto las de riesgo medio o bajo. Sin embargo, los investigadores de Veriti enfatizan que “no hay ninguna vulnerabilidad demasiado pequeña para ser ignorada, ya que los atacantes aprovecharán cualquier debilidad que puedan encontrar”.
Veriti ha proporcionado un video de demostración de un ataque a través de esta vulnerabilidad en el siguiente enlace (https://www.youtube.com/watch?v=R9zsRGYc2PA). Para prevenir este tipo de ataques, los equipos de seguridad deben revisar regularmente la configuración de sus sistemas de prevención de intrusos, firewalls de aplicaciones web y firewalls para garantizar una protección adecuada contra posibles ataques externos.
A continuación, se muestran algunas de las direcciones IP de los atacantes detectadas hasta el momento:
31.56.56[.]156
38.60.191[.]7
94.156.177[.]106
159.192.123[.]90
119.82.255[.]34
103.251.223[.]127
104.143.229[.]115
114.10.44[.]40
116.212.150[.]192
145.223.59[.]188
167.100.106[.]99
174.138.27[.]119
212.237.124[.]38
216.158.205[.]221
Esta