OpenAI の SSRF の脆弱性 CVE-2024-27564:広範な分野で積極的な悪用を観測

CVE-2024-27564: Attackers Exploit OpenAI Vulnerability in the Wild

2025/03/18 SecurityOnline — ChatGPT のサーバ・サイド・リクエスト フォージェリ (SSRF) の脆弱性 CVE-2024-27564 だが、単一の悪意の IP からの 10,479 件を超える攻撃の試行が記録されており、サイバー犯罪者の重要なターゲットにされているようだ。Veriti の最新の調査によると、この欠陥は、OpenAI の ChatGPT インフラに影響を与えるものであり、入力パラメータに悪意の URL を挿入する攻撃者は、アプリケーションが意図していないリクエストの、強制的な実行を達成するという。

この脆弱性は Medium レベルに分類されているが、Veriti の調査結果によると、Intrusion Prevention Systems (IPS)/ Web Application Firewalls/一般的なファイアウォールなどのミスコンフィグにより、35% の組織が保護されない状況にあるという。

このレポートが強調するのは、「あらゆる脆弱性において、問題にならないほど、小さいものはなく、攻撃者は見つけたすべての弱点を悪用する」という、サイバー・セキュリティにおける重要な現実である。

この脆弱性の現実世界への影響だが、すでに複数の業界で兆候が現れているという。AI 駆動型サービスと API 統合に依存する金融機関が、主要な標的として浮上しているようだ。このような組織に対して、SSRF の脆弱性を悪用する攻撃者は、以下のような深刻なリスクをもたらす。

  • データ侵害
  • 不正な金融取引
  • 規制上の罰則
  • 著しい評判の低下

Veriti のレポートは、「Medium レベルの脆弱性を無視することは間違いであり、特に高価値の金融機関にとって、大きな損失をもたらすことになる」と警告している。

依然として攻撃者の主要な標的は金融機関だが、米国の政府機関も標的にされるセクターの1つである。わずか1週間で、1万件を超える攻撃試行が検出され、脅威の規模と激しさが浮き彫りになっている。

この脆弱性 CVE-2024-27564 を積極的に悪用する、攻撃者の複数の IP が特定されている。

  • 31.56.56[.]156
  • 38.60.191[.]7
  • 94.156.177[.]106
  • 159.192.123[.]190
  • …その他多数。

よくあるセキュリティ対応における失敗は、深刻度 (CVSS) の高い脆弱性だけを優先してしまうことだ。つまり、Veriti の調査結果が裏付けているのは、深刻度のランクに関係なく、攻撃者にとって有効なものなら、何でも悪用されるという現実だ。

Veriti は、「いったん無視された脆弱性が、お気に入りの攻撃ベクターに変化する可能性がある。自動化された攻撃では、深刻度スコアではなく弱点がスキャンされ、ミスコンフィグにより侵入口が簡単に作られる」と指摘している。

OpenAI の ChatGPT エコシステムにおける、この SSRF の欠陥が示すのは、深刻度が高いとフラグ付けされた脆弱性だけではなく、すべての脅威に対して警戒を怠ってはならないという、サイバーセキュリティ・チームが取るべき視点である。

このレポートが、セキュリティ・チームに求めるのは、これらのリスクを軽減するための即時の対策である。

  • セキュリティ・コンフィグ確認:セキュリティ・チームは、Prevention Systems (IPS)/ Web Application Firewalls/ファイアウォールなどのコンフィグをチェックし、CVE-2024-27564 からの適切な保護を確認する必要がある。
  • 悪意のアクティビティの監視::攻撃試行に対して、特に、既知の攻撃者の IP アドレスから発信された攻撃試行のログに対して、厳重な監視が重要となる。
  • AI セキュリティの優先:ユーザー組織のリスク評価において、AI 関連サービスと API 統合に関連する、セキュリティ・ギャップの特定と対策を優先する必要がある。

この記事の原文には記載がありませんでしたが、NVDGitHub によると、この脆弱性 CVE-2024-27564 は、pictureproxy.php で発生したようです。ChatGPT は利用者が急増しているだけに、今回の脆弱性による影響が懸念されますね。また、つい数日前には、別の SSRF 攻撃に関する記事をポストしています。よろしければ、以下の関連記事も、カテゴリ _AI/ML と併せてご参照下さい。 

2025/03/13:大規模な SSRF 攻撃:Grafana の脆弱性を偵察に悪用?
2024/03/12:拡大する SSRF 攻撃:400+ の IP が複数の CVE を悪用
2025/02/21:ChatGPT の Weekly User 数が4億人に到達