แฮกเกอร์เจอช่องโหว่ ChatGPT แต่ไม่ใช่ของ OpenAI

บริษัทไซเบอร์ Veriti รายงานว่ามีแฮกเกอร์พบช่องโหว่ SSRF อายุ 1 ปี ในเครื่องมือที่ชื่อว่า ChatGPT และใช้ในการโจมตีสถาบันทางการเงินและหน่วยงานรัฐบาลของสหรัฐอเมริกา

อย่างไรก็ดี ChatGPT ที่อยู่ในรายงานนี้ไม่ใช่แชตบอตที่ OpenAI สร้างขึ้น แต่เป็นเครื่องมือโอเพนซอร์สที่นักพัฒนาชาวจีนสร้างขึ้นสำหรับเป็นอินเทอร์เฟซสื่อสารกับบริการ ChatGPT ของ OpenAI อีกที

ช่องโหว่นี้มีหมายเลขติดตามว่า CVE-2024-27564 เป็นปัญหาที่มีความร้ายแรงระดับกลาง มีผลกับไฟล์ที่ชื่อว่า pictureproxy.php โดยเป็นช่องโหว่ให้แฮกเกอร์สามารถใส่ URL ที่ทำขึ้นมาเพื่อบังคับให้ซอฟต์แวร์เป้าหมายทำตามคำสั่งจากภายนอกได้

Veriti บอกว่ามีแฮกเกอร์อย่างน้อย 1 เจ้าที่นำ CVE-2024-27564 เพิ่มเข้าไปไว้เป็นเครื่องมือในการแฮกแล้ว และได้เริ่มเฟ้นหาว่ามีช่องโหว่นี้อยู่ในที่ใดบ้างบนโลกอินเทอร์เน็ต โดยในเวลาเพียง 1 สัปดาห์ ก็พบว่ามีความพยายามในการโจมตีอย่างน้อย 10,000 ครั้ง จากที่อยู่ IP เดียว ในจำนวนนี้ Veriti เตือนว่ามี 1 ใน 3 ที่เสี่ยงโดนโจมตี เนื่องจากการตั้งค่าที่ผิดพลาดในโซลูชันการป้องกันภัยไซเบอร์