研究者が、AIチャットボットであるChatGPTの基盤となるクラウドインフラの一部が露呈する可能性のあった、最近修正された脆弱性の詳細を公開しました。
バグバウンティハンターでありOpen SecurityのセキュリティエンジニアであるJacob Krut氏は、特定の目的や専門分野に合わせてカスタマイズされたChatGPTのバージョンであるカスタムGPTを作成中に、この脆弱性を発見しました。
研究者は、ユーザーがAPIを通じてカスタムGPTが外部サービスとどのように連携するかを定義する「アクション」セクションで、この脆弱性を発見しました。この機能はユーザーが指定したURLに依存していましたが、適切に検証されていなかったため、攻撃者がサーバーサイドリクエストフォージェリ(SSRF)攻撃を行うことが可能でした。
SSRFの脆弱性は、特別に細工されたURLを使って、攻撃者が通常アクセスできない内部ネットワークリソースへの不正なリクエストを実行するために悪用される可能性があります。
ChatGPTの場合、Krut氏はこの脆弱性を悪用して、アプリケーションの設定や管理に使われるAzureクラウドプラットフォームのコンポーネントであるAzure Instance Metadata Service(IMDS)に関連するローカルエンドポイントへの問い合わせを行うことができました。
IMDSのIDは、サービスを他のリソースに認証します。ChatGPTのAzure IMDS IDのアクセストークンを取得することで、研究者はOpenAIが利用する基盤となるAzureクラウドインフラへのアクセスを得ることができた可能性があります。
この脆弱性は、BugCrowdプラットフォーム上のバグバウンティプログラムを通じてOpenAIに報告されました。研究者によると、ベンダーはこれを「高い深刻度」と評価し、迅速に修正しました。
このセキュリティホールに対してバグバウンティが支払われたかどうかは不明です。5月、OpenAIは重大な脆弱性に対して最大10万ドルの報奨金を提供し始めましたが、過去3か月間の平均支払額は800ドル未満で、5月以降に公表された最高額は5,000ドルでした。
「ChatGPTのカスタムGPTアクションにおけるこのSSRFは、フレームワーク層での小さな検証の隙間がクラウドレベルの露呈へと連鎖する典型例であり、この攻撃ベクトルの深刻さを浮き彫りにしています」と、アプリケーションセキュリティ企業Black DuckのシニアR&DマネージャーであるChristopher Jess氏は述べています。
「SSRFは、まさにこのような被害範囲の広さがあるため、2021年以降OWASP Top 10に含まれています。サーバーサイドのリクエスト1つで、内部サービスやメタデータエンドポイント、特権クラウドIDにまで到達する可能性があるのです」とJess氏は付け加えました。
翻訳元: https://www.securityweek.com/chatgpt-vulnerability-exposed-underlying-cloud-infrastructure/
