CVE-2024-27564漏洞:ChatGPT基础设施面临SSRF攻击威胁
发布时间 2025-03-181. CVE-2024-27564漏洞:ChatGPT基础设施面临SSRF攻击威胁
3月17日,网络安全公司Veriti在其最新研究报告中揭示了OpenAI的ChatGPT基础设施中存在的一个服务器端请求伪造(SSRF)漏洞,即CVE-2024-27564,尽管该漏洞被归为中等严重程度,但在现实世界中已被积极利用。Veriti发现,一周内就有10,479次攻击尝试源自同一恶意IP地址。此外,35%的组织因安全系统配置错误而未能获得充分保护,其中美国遭受的攻击最为集中,占比33%,其次是德国和泰国,均为7%。攻击活动在1月份激增,随后有所下降。金融行业成为主要攻击目标,因其严重依赖AI服务和API集成,易受SSRF攻击威胁,可能导致数据泄露、未经授权的交易、监管处罚和声誉损害。Veriti强调,不应忽视中等严重程度的漏洞,因为攻击者会利用任何找到的弱点。研究指出,漏洞优先级排序不应仅依赖严重程度评分,攻击趋势可能迅速转变,曾被认为无关紧要的漏洞可能成为攻击媒介。因此,Veriti提供了积极利用此漏洞的IP地址列表,建议安全团队立即检查IPS、WAF和防火墙配置,积极监控日志,查找来自已识别恶意IP地址的攻击尝试,并在风险管理策略中优先评估与AI相关的安全漏洞,以减轻与CVE-2024-27564相关的风险。
https://hackread.com/hackers-exploit-chatgpt-cve-2024-27564-10000-attacks/
2. 微软发现StilachiRAT木马:逃避检测窃取数据
3月17日,微软近期发现了一种名为StilachiRAT的新型远程访问木马,该恶意软件采用复杂技术逃避检测、保持持久性并窃取敏感数据,尽管尚未广泛传播,但微软已公开分享入侵指标和缓解指导。StilachiRAT能从浏览器、数字钱包、剪贴板及系统中窃取信息,具有强大的侦察能力,如收集系统硬件信息、检测摄像头及RDP会话等。它还能通过Windows API提取Chrome凭据,监控剪贴板中的敏感信息,并利用Windows服务控制管理器获得持久性。此外,StilachiRAT能冒充登录用户监控RDP会话,实现网络中的横向移动。该恶意软件还具备检测规避和反取证功能,如清除事件日志、检查沙盒环境等。StilachiRAT可接受来自C2服务器的命令,执行重启系统、清除日志、窃取凭据等操作。为减少攻击面,微软建议从官网下载软件,并使用安全软件阻止恶意域和附件。
https://www.bleepingcomputer.com/news/security/microsoft-new-rat-malware-used-for-crypto-theft-reconnaissance/
3. Lazarus黑客试图洗钱后OKX暂停了DEX聚合器
3月17日,朝鲜 Lazarus 黑客组织近期实施了一起价值15亿美元的加密货币盗窃案,这一事件引起了广泛关注。作为全球领先的加密货币交易所之一,OKX 在此背景下决定暂停其去中心化交易所(DEX)聚合器服务,以进行安全升级。OKX在全球中心化交易所现货交易市场份额约占8.0%,交易量巨大,位列行业前列。Lazarus组织试图利用OKX的DEX服务清洗被盗的1亿美元加密货币,此事甚至引发了欧盟监管机构的调查。尽管OKX否认了相关指控,并指出已冻结流入中心化交易所的相关资金,但公司仍决定采取行动,以防止服务被滥用。OKX在与监管机构协商后,主动暂停了DEX聚合器服务,并计划推出识别和追踪黑客相关地址的系统,同时在中心化交易所上实时封锁这些地址。OKX正与区块链探索者合作,以确保交易得到正确标记并提高安全性。这些措施旨在增强加密货币交易平台的安全性、透明度和监管合规性。然而,目前尚不清楚Lazarus是否能绕过这些措施,或者朝鲜黑客是否会转向其他安全标准较低的交易所。
https://www.bleepingcomputer.com/news/security/okx-suspends-dex-aggregator-after-lazarus-hackers-try-to-launder-funds/
4. tj-actions遭供应链攻击,CI/CD机密泄露风险高
3月17日,广泛使用的GitHub Action“tj-actions/changed-files”近期遭受了供应链攻击,导致CI/CD机密可能从GitHub Actions构建日志中被窃取。该工具允许开发人员根据拉取请求或提交中更改的文件采取行动,常用于测试、工作流程触发及代码验证。在2025年3月14日,攻击者通过修改工具代码并向多个版本标签添加恶意提交,成功将CI/CD机密从Runner Worker进程转储到使用该操作的任何项目的存储库中。如果工作流日志可公开访问,任何人都可以读取和窃取这些暴露的机密。攻击者还入侵了具有访问该工具存储库特权的GitHub机器人(@tj-actions-bot)的个人访问令牌(PAT),但入侵方式尚不清楚。GitHub随后删除了被入侵的操作,并恢复了存储库,但该漏洞对受影响的软件项目产生了持久影响,并被分配了一个CVE ID(CVE-2025-30066)以便跟踪。恶意代码并未将内存输出泄露到远程服务器,而是使其在可公开访问的存储库中可见。为了防止类似泄露,tj-actions存储库进行了更新,提供了受影响用户需要执行的操作说明,GitHub也建议将所有GitHub Actions ping到特定的提交哈希而不是版本标签,并使用允许列表功能来阻止未经授权/不受信任的GitHub Actions。
https://www.bleepingcomputer.com/news/security/supply-chain-attack-on-popular-github-action-exposes-ci-cd-secrets/
5. 新型加密挖掘活动利用错误配置Jupyter Notebook攻击
3月15日,近期,一种新型加密挖掘活动被发现,该活动利用错误配置的Jupyter Notebooks针对Windows和Linux系统。攻击者通过暴露的Jupyter Notebook实例执行命令,尝试安装恶意软件。对于Windows系统,攻击会下载一个包含名为“Binary.freedllbinary”的64位可执行文件的MSI安装程序,该执行文件会加载名为“java.exe”的辅助有效负载,实际上是一个使用UPX打包的恶意二进制文件,用于从多个存储库中检索名为“x2.dat”的加密blob。对于Linux系统,攻击会下载一个bash脚本,该脚本会检索两个ELF二进制文件并设置cronjobs以确保持久性。攻击者采用复杂的加密技术隐藏其有效载荷,目标包括Monero、Sumokoin、ArQma等多种加密货币。Cado安全实验室指出,此次活动代表了一种以前从未报道过的加密挖掘攻击的新载体。组织应实施强身份验证,禁用对Jupyter实例的公共访问,并定期监控云环境中的异常活动,以减轻这些攻击。
https://cybersecuritynews.com/hackers-attacking-exposed-jupyter-notebooks/
6. Apache Tomcat RCE漏洞(CVE-2025-24813)被积极利用
3月17日,Apache Tomcat中存在一个严重的远程代码执行(RCE)漏洞(CVE-2025-24813),攻击者可通过简单的PUT请求接管服务器。漏洞披露仅30小时后,GitHub上就发布了概念验证(PoC)漏洞,黑客已开始利用该漏洞。Wallarm安全研究人员证实,由于PUT请求看似正常且恶意内容使用base64编码混淆,传统安全工具难以检测。攻击者发送包含base64编码序列化Java有效负载的PUT请求保存到Tomcat会话存储中,再发送带有指向会话文件的JSESSIONID cookie的GET请求,迫使Tomcat反序列化并执行恶意代码,无需身份验证。该漏洞由于Tomcat接受部分PUT请求及默认会话持久性引起,影响多个Tomcat版本。Apache已发布补丁,建议用户升级至已修补版本,并通过恢复默认servlet配置、关闭部分PUT支持及避免将安全敏感文件存储在公共上传路径的子目录中来缓解问题。Wallarm警告,攻击者将转变策略,上传恶意JSP文件、修改配置并在会话存储之外植入后门,这只是第一波攻击。
https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks/
京公网安备11010802024551号