CVE-2024-27564缝隙：ChatGPT基础设施面对SSRF攻击威胁

首页 > 安全钻研 > 安全传递 > 安全简讯

CVE-2024-27564缝隙：ChatGPT基础设施面对SSRF攻击威胁

颁布功夫 2025-03-18

1. CVE-2024-27564缝隙：ChatGPT基础设施面对SSRF攻击威胁

3月17日，网络安全公司Veriti在其最新钻研汇报中揭示了OpenAI的ChatGPT基础设施中存在的一个服务器端要求伪造（SSRF）缝隙，即CVE-2024-27564，只管该缝隙被归为中等严沉水平，但在现实世界中已被积极利用。Veriti发现，一周内就有10,479次攻击尝试源自统一恶意IP地址。此表，35%的组织因安整系统配置谬误而未能获得充分�；�，其中美国遭逢的攻击最为集中，占比33%，其次是德国和泰国，均为7%。攻击活动在1月份激增，随后有所降落。金融行业成为重要攻击指标，因其严沉依赖AI服务和API集成，易受SSRF攻击威胁，可能导致数据泄露、未经授权的买卖、监管处罚和名誉侵害。Veriti强调，不应忽视中等严沉水平的缝隙，由于攻击者会利用任何找到的弱点。钻研指出，缝隙优先级排序不应仅依赖严沉水平评分，攻击趋向可能迅速转变，曾被以为无关紧要的缝隙可能成为攻击媒介。因而，Veriti提供了积极利用此缝隙的IP地址列表，建议安全团队立即查抄IPS、WAF和防火墙配置，积极监控日志，查找来自已鉴别恶意IP地址的攻击尝试，并在风险治理战术中优先评估与AI有关的安全缝隙，以减轻与CVE-2024-27564有关的风险。

https://hackread.com/hackers-exploit-chatgpt-cve-2024-27564-10000-attacks/

2. 微软发现StilachiRAT木马：逃避检测窃取数据

3月17日，微软近期发现了一种名为StilachiRAT的新型远程接见木马，该恶意软件选取复杂技术逃避检测、维持悠久性并窃取敏感数据，只管尚未宽泛传布，但微软已公开分享入侵指标缓和解领导。StilachiRAT能从浏览器、数字钱包、剪贴板及系统中窃守信息，拥有壮大的窥伺能力，如网络系统硬件信息、检测摄像头及RDP会话等。它还能通过Windows API提取Chrome痛处，监控剪贴板中的敏感信息，并利用Windows服务节造治理器获得悠久性。此表，StilachiRAT能假意登录用户监控RDP会话，实现网络中的横向移动。该恶意软件还具备检测躲避和反取证职能，如断根事务日志、查抄沙盒环境等。StilachiRAT可接受来自C2服务器的号令，执行沉启系统、断根日志、窃取痛处等操作。为削减攻击面，微软建议从官网下载软件，并使用安全软件阻止恶意域和附件。

https://www.bleepingcomputer.com/news/security/microsoft-new-rat-malware-used-for-crypto-theft-reconnaissance/

3. Lazarus黑客试图洗钱后OKX暂停了DEX聚合器

3月17日，朝鲜 Lazarus 黑客组织近期执行了一路价值15亿美元的加密钱币偷窃案，这一事务引起了宽泛关注。作为全球当先的加密钱币买卖所之一，OKX 在此布景下决定暂停其去中心化买卖所（DEX）聚合器服务，以进行安全升级。OKX在全球中心化买卖所现货买卖市场份额约占8.0%，买卖量巨大，位列行业前列。Lazarus组织试牟利用OKX的DEX服务洗濯被盗的1亿美元加密钱币，此事甚至引发了欧盟监管机构的调查。只管OKX否定了有关指控，并指出已冻结流入中心化买卖所的有关资金，但公司仍决定采取行动，以预防服务被滥用。OKX在与监管机构协商后，自动暂停了DEX聚合器服务，并打算推出鉴别和追踪黑客有关地址的系统，同时在中心化买卖所上实时关闭这些地址。OKX正与区块链索求者合作，以确保买卖得到正确象征并提高安全性。这些措施旨在加强加密钱币买卖平台的安全性、通明度和监管合规性。然而，目前尚不明显Lazarus是否能绕过这些措施，或者朝鲜黑客是否会转向其他安全尺度较低的买卖所。

https://www.bleepingcomputer.com/news/security/okx-suspends-dex-aggregator-after-lazarus-hackers-try-to-launder-funds/

4. tj-actions遭供给链攻击，CI/CD机密泄露风险高

3月17日，宽泛使用的GitHub Action“tj-actions/changed-files”近期遭逢了供给链攻击，导致CI/CD机密可能从GitHub Actions构建日志中被窃取。该工具允许开发人员凭据拉取要求或提交中更改的文件采取行动，常用于测试、工作流程触发及代码验证。在2025年3月14日，攻击者通过批改工具代码并向多个版本标签增长恶意提交，成功将CI/CD机密从Runner Worker过程转储到使用该操作的任何项主张存储库中。若是工作流日志可公开接见，任何人都能够读取和窃取这些露出的机密。攻击者还入侵了拥有接见该工具存储库特权的GitHub机械人(@tj-actions-bot)的幼我接见令牌(PAT)，但入侵方式尚不明显。GitHub随后删除了被入侵的操作，并复原了存储库，但该缝隙对受影响的软件项目产生了悠久影响，并被分配了一个CVE ID（CVE-2025-30066）以便跟踪。恶意代码并未将内存输出泄露到远程服务器，而是使其在可公开接见的存储库中可见。为了预防类似泄露，tj-actions存储库进行了更新，提供了受影响用户必要执行的操作注明，GitHub也建议将所有GitHub Actions ping到特定的提交哈希而不是版本标签，并使用允许列表职能来阻止未经授权/不受信赖的GitHub Actions。

https://www.bleepingcomputer.com/news/security/supply-chain-attack-on-popular-github-action-exposes-ci-cd-secrets/

5. 新型加密挖掘活动利用谬误配置Jupyter Notebook攻击

3月15日，近期，一种新型加密挖掘活动被发现，该活动利用谬误配置的Jupyter Notebooks针对Windows和Linux系统。攻击者通过露出的Jupyter Notebook事俘执行号令，尝试装置恶意软件。对于Windows系统，攻击会下载一个蕴含名为“Binary.freedllbinary”的64位可执行文件的MSI装置法式，该执行文件会加载名为“java.exe”的辅助有效负载，现实上是一个使用UPX打包的恶意二进造文件，用于从多个存储库中检索名为“x2.dat”的加密blob。对于Linux系统，攻击会下载一个bash剧本，该剧本会检索两个ELF二进造文件并设置cronjobs以确维悠久性。攻击者选取复杂的加密技术暗藏其有效载荷，指标蕴含Monero、Sumokoin、ArQma等多种加密钱币。Cado安全尝试室指出，这次活动代表了一种以前从未报路过的加密挖掘攻击的新载体。组织应执行强身份验证，禁用对Jupyter事俘的公共接见，并定期监控云环境中的异�；疃�，以减轻这些攻击。

https://cybersecuritynews.com/hackers-attacking-exposed-jupyter-notebooks/

6. Apache Tomcat RCE缝隙（CVE-2025-24813）被积极利用

3月17日，Apache Tomcat中存在一个严沉的远程代码执行（RCE）缝隙（CVE-2025-24813），攻击者可通过单一的PUT要求收受服务器。缝隙披露仅30幼时后，GitHub上就颁布了概想验证（PoC）缝隙，黑客已起头利用该缝隙。Wallarm安全钻研人员证实，由于PUT要求看似正常且恶意内容使用base64编码混合，传统安全工具难以检测。攻击者发送蕴含base64编码序列化Java有效负载的PUT要求保留到Tomcat会话存储中，再发送带有指向会话文件的JSESSIONID cookie的GET要求，迫使Tomcat反序列化并执行恶意代码，无需身份验证。该缝隙由于Tomcat接受部门PUT要求及默认会话悠久性引起，影响多个Tomcat版本。Apache已颁布补丁，建议用户升级至已建补版本，并通过复原默认servlet配置、关关部门PUT支持及预防将安全敏感文件存储在公共上传蹊径的子目录中来缓解问题。Wallarm忠告，攻击者将转变战术，上传恶意JSP文件、批改配置并在会话存储之表植入后门，这只是第一波攻击。

https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研