CVE-2024-27564误差:ChatGPT基础设施面临SSRF攻击威胁

宣布时间 2025-03-18

1. CVE-2024-27564误差:ChatGPT基础设施面临SSRF攻击威胁


3月17日,网络清静公司Veriti在其最新研究报告中展现了OpenAI的ChatGPT基础设施中保存的一个服务器端请求伪造(SSRF)误差,即CVE-2024-27564,只管该误差被归为中等严重水平,但在现实天下中已被起劲使用。Veriti发明,一周内就有10,479次攻击实验源自统一恶意IP地址。别的,35%的组织因清静系统设置过失而未能获得充分掩护,其中美国遭受的攻击最为集中,占比33%,其次是德国和泰国,均为7%。攻击运动在1月份激增,随后有所下降。金融行业成为主要攻击目的,因其严重依赖AI服务和API集成,易受SSRF攻击威胁,可能导致数据泄露、未经授权的生意、羁系处分和声誉损害。Veriti强调,不应忽视中等严重水平的误差,由于攻击者会使用任何找到的弱点。研究指出,误差优先级排序不应仅依赖严重水平评分,攻击趋势可能迅速转变,曾被以为无关紧要的误差可能成为攻击前言。因此,Veriti提供了起劲使用此误差的IP地址列表,建议清静团队连忙检查IPS、WAF和防火墙设置,起劲监控日志,查找来自已识别恶意IP地址的攻击实验,并在危害管理战略中优先评估与AI相关的清静误差,以减轻与CVE-2024-27564相关的危害。


https://hackread.com/hackers-exploit-chatgpt-cve-2024-27564-10000-attacks/


2. 微软发明StilachiRAT木马:逃避检测窃取数据


3月17日,微软近期发明了一种名为StilachiRAT的新型远程会见木马,该恶意软件接纳重大手艺逃避检测、坚持长期性并窃取敏感数据,只管尚未普遍撒播,但微软已果真分享入侵指标缓和解指导。StilachiRAT能从浏览器、数字钱包、剪贴板及系统中窃守信息,具有强盛的侦探能力,如网络系统硬件信息、检测摄像头及RDP会话等。它还能通过Windows API提取Chrome凭证,监控剪贴板中的敏感信息,并使用Windows服务控制管理器获得长期性。别的,StilachiRAT能冒充登任命户监控RDP会话,实现网络中的横向移动。该恶意软件还具备检测规避和反取证功效,如扫除事务日志、检查沙盒情形等。StilachiRAT可接受来自C2服务器的下令,执行重启系统、扫除日志、窃取凭证等操作。为镌汰攻击面,微软建议从官网下载软件,并使用清静软件阻止恶意域和附件。


https://www.bleepingcomputer.com/news/security/microsoft-new-rat-malware-used-for-crypto-theft-reconnaissance/


3. Lazarus黑客试图洗钱后OKX暂停了DEX聚合器


3月17日,朝鲜 Lazarus 黑客组织近期实验了一起价值15亿美元的加密钱币偷窃案,这一事务引起了普遍关注。作为全球领先的加密钱币生意所之一,OKX 在此配景下决议暂停其去中心化生意所(DEX)聚合器服务,以举行清静升级。OKX在全球中心化生意所现货生意市场份额约占8.0%,生意量重大,位列行业前线。Lazarus组织试图使用OKX的DEX服务洗濯被盗的1亿美元加密钱币,此事甚至引发了欧盟羁系机构的视察。只管OKX否定了相关指控,并指出已冻结流入中心化生意所的相关资金,但公司仍决议接纳行动,以避免服务被滥用。OKX在与羁系机构协商后,自动暂停了DEX聚合器服务,并妄想推出识别和追踪黑客相关地址的系统,同时在中心化生意所上实时封闭这些地址。OKX正与区块链探索者合作,以确保生意获得准确标记并提高清静性。这些步伐旨在增强加密钱币生意平台的清静性、透明度和羁系合规性。然而,现在尚不清晰Lazarus是否能绕过这些步伐,或者朝鲜黑客是否会转向其他清静标准较低的生意所。


https://www.bleepingcomputer.com/news/security/okx-suspends-dex-aggregator-after-lazarus-hackers-try-to-launder-funds/


4. tj-actions遭供应链攻击,CI/CD神秘泄露危害高


3月17日,普遍使用的GitHub Action“tj-actions/changed-files”近期遭受了供应链攻击,导致CI/CD神秘可能从GitHub Actions构建日志中被窃取。该工具允许开发职员凭证拉取请求或提交中更改的文件接纳行动,常用于测试、事情流程触发及代码验证。在2025年3月14日,攻击者通过修改工具代码并向多个版本标签添加恶意提交,乐成将CI/CD神秘从Runner Worker历程转储到使用该操作的任何项目的存储库中。若是事情流日志可果真会见,任何人都可以读取和窃取这些袒露的神秘。攻击者还入侵了具有会见该工具存储库特权的GitHub机械人(@tj-actions-bot)的小我私家会见令牌(PAT),但入侵方法尚不清晰。GitHub随后删除了被入侵的操作,并恢复了存储库,但该误差对受影响的软件项目爆发了长期影响,并被分派了一个CVE ID(CVE-2025-30066)以便跟踪。恶意代码并未将内存输出泄露到远程服务器,而是使其在可果真会见的存储库中可见。为了避免类似泄露,tj-actions存储库举行了更新,提供了受影响用户需要执行的操作说明,GitHub也建议将所有GitHub Actions ping到特定的提交哈希而不是版本标签,并使用允许列表功效来阻止未经授权/不受信任的GitHub Actions。


https://www.bleepingcomputer.com/news/security/supply-chain-attack-on-popular-github-action-exposes-ci-cd-secrets/


5. 新型加密挖掘运动使用过失设置Jupyter Notebook攻击


3月15日,近期,一种新型加密挖掘运动被发明,该运动使用过失设置的Jupyter Notebooks针对Windows和Linux系统。攻击者通过袒露的Jupyter Notebook实例执行下令,实验装置恶意软件。关于Windows系统,攻击会下载一个包括名为“Binary.freedllbinary”的64位可执行文件的MSI装置程序,该执行文件会加载名为“java.exe”的辅助有用负载,现实上是一个使用UPX打包的恶意二进制文件,用于从多个存储库中检索名为“x2.dat”的加密blob。关于Linux系统,攻击会下载一个bash剧本,该剧本会检索两个ELF二进制文件并设置cronjobs以确坚长期性。攻击者接纳重大的加密手艺隐藏其有用载荷,目的包括Monero、Sumokoin、ArQma等多种加密钱币。Cado清静实验室指出,此次运动代表了一种以前从未报道过的加密挖掘攻击的新载体。组织应实验强身份验证,禁用对Jupyter实例的公共会见,并按期监控云情形中的异常运动,以减轻这些攻击。


https://cybersecuritynews.com/hackers-attacking-exposed-jupyter-notebooks/


6. Apache Tomcat RCE误差(CVE-2025-24813)被起劲使用


3月17日,Apache Tomcat中保存一个严重的远程代码执行(RCE)误差(CVE-2025-24813),攻击者可通过简朴的PUT请求接受服务器。误差披露仅30小时后,GitHub上就宣布了看法验证(PoC)误差,黑客已最先使用该误差。Wallarm清静研究职员证实,由于PUT请求看似正常且恶意内容使用base64编码混淆,古板清静工具难以检测。攻击者发送包括base64编码序列化Java有用负载的PUT请求生涯到Tomcat会话存储中,再发送带有指向会话文件的JSESSIONID cookie的GET请求,迫使Tomcat反序列化并执行恶意代码,无需身份验证。该误差由于Tomcat接受部分PUT请求及默认会话长期性引起,影响多个Tomcat版本。Apache已宣布补丁,建议用户升级至已修补版本,并通过恢复默认servlet设置、关闭部分PUT支持及阻止将清静敏感文件存储在公共上传路径的子目录中来缓解问题。Wallarm忠言,攻击者将转变战略,上传恶意JSP文件、修改设置并在会话存储之外植入后门,这只是第一波攻击。


https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks/