ΑρχικήSecurityChatGPT Crawler: Ευπάθεια επιτρέπει DDoS επιθέσεις σε ιστότοπους

ChatGPT Crawler: Ευπάθεια επιτρέπει DDoS επιθέσεις σε ιστότοπους

Μια επικίνδυνη ευπάθεια βρέθηκε σε crawler του ChatGPT, επιτρέποντας σε εισβολείς να εξαπολύουν επιθέσεις Distributed Denial of Service (DDoS) σε ιστότοπους. Αυτή η ευπάθεια προκαλεί σημαντική ανησυχία τόσο για τους web administrators όσο και για τις επιχειρήσεις.

ChatGPT crawler ευπάθεια DDoS

Σύμφωνα με τον Benjamin Flesch, η ευπάθεια βρίσκεται στο ChatGPT API και σχετίζεται με τον τρόπο με τον οποίο χειρίζεται τα HTTP POST requests που απευθύνονται στο endpoint https://chatgpt[.]com/backend-api/attributions. Το API έχει σχεδιαστεί για να επεξεργάζεται μια λίστα υπερσυνδέσμων που περνούν μέσω του URLs parameter.

Δείτε επίσης: Δίκτυο ΣΥΖΕΥΞΙΣ: Νέα κυβερνοεπίθεση έπληξε τα συστήματα

Advertisement

Το ChatGPT crawler μπορεί να ενεργοποιηθεί για πραγματοποίηση DDoS επίθεσης σε έναν ιστότοπο μέσω HTTP request σε άσχετο ChatGPT API. Αυτό το σφάλμα στο λογισμικό της OpenAI θα προκαλέσει μια επίθεση DDoS σε έναν ιστότοπο, χρησιμοποιώντας πολλαπλά Microsoft Azure IP address ranges, στα οποία εκτελείται το ChatGPT crawler“, πρόσθεσε ο Benjamin.

Δυστυχώς, η OpenAI αποτυγχάνει να εφαρμόσει ελέγχους έναντι διπλών υπερσυνδέσμων ή να θέσει ένα όριο στον συνολικό αριθμό των διευθύνσεων URL που μπορούν να υποβληθούν.

Τεχνικές λεπτομέρειες της ευπάθειας του ChatGPT crawler

Η πιθανότητα για επίθεση DDoS είναι υψηλή, λόγω του μεγάλου όγκου requests που μπορούν να δημιουργηθούν με απλό χειρισμό του URL parameter.

Το DDoS είναι μια μορφή κυβερνοεπίθεσης που στοχεύει στη διακοπή λειτουργίας των υπηρεσιών ενός συστήματος ή μιας ιστοσελίδας, καθιστώντας τη μη προσβάσιμη για τους χρήστες. Στην ουσία, η επίθεση αυτή προκαλεί μια υπερφόρτωση των πόρων του συστήματος, καθιστώντας το ανίκανο να ανταποκριθεί στα αιτήματα των χρηστών.

Οι εισβολείς θα μπορούσαν να εκμεταλλευτούν την ευπάθεια δημιουργώντας κακόβουλα HTTP requests που οδηγούν σε χιλιάδες συνδέσεις σε έναν συγκεκριμένο ιστότοπο, εμποδίζοντας έτσι τη σωστή λειτουργία του.

Δείτε επίσης: NoName057(16) hackers: DDoS επιθέσεις στόχευσαν την Ιταλία

HTTP POST Request Handling: Το API προορίζεται να δέχεται και να επεξεργάζεται υπερσυνδέσμους, αλλά χωρίς επιβεβλημένο όριο στον αριθμό των καταχωρήσεων, μπορεί να δεχτεί τεράστιες ποσότητες υπερσυνδέσμων σε ένα μόνο αίτημα.

Amplification Factor: Με τη λήψη ενός αιτήματος, το API στέλνει αμέσως ένα HTTP request για κάθε υπερσύνδεσμο που αναφέρεται, ξεκινώντας από διακομιστές της OpenAI που φιλοξενούνται στο Microsoft Azure. Αυτό μπορεί να οδηγήσει σε μια έκρηξη ταυτόχρονων προσπαθειών σύνδεσης, κατακλύζοντας τον server με πολύ traffic.

Concurrency Without Limits: Ο τρέχων μηχανισμός επιτρέπει στην υποδομή της OpenAI να εκκινεί πολλαπλά παράλληλα αιτήματα στον ίδιο ιστότοπο, χωρίς περιορισμούς στον αριθμό ή τη συχνότητα αυτών των αιτημάτων. Έτσι, θα μπορούσε να προκληθεί σημαντική διακοπή υπηρεσιών για τους στοχευμένους ιστότοπους.

ChatGPT Crawler: Ευπάθεια επιτρέπει DDoS επιθέσεις σε sites

Η ευπάθεια ανακαλύφθηκε τον Ιανουάριο του 2025 και κοινοποιήθηκε στην OpenAI και στη Microsoft. Ωστόσο, ο ερευνητής ανέφερε ότι κανένα από τα μέρη δεν είχε απαντήσει έως τις 10 Ιανουαρίου 2025.

Οι δύο εταιρείες εργάζονται για την αντιμετώπιση της ευπάθειας, αλλά είναι επιτακτική ανάγκη για τους διαχειριστές να παραμείνουν σε εγρήγορση και να προστατεύουν την υποδομή τους από πιθανές επιθέσεις DDoS.

Δείτε επίσης: Επιθέσεις DDoS: Πώς θα τις αντιμετωπίσετε

Tips για Αποτροπή DDoS επιθέσεων

  • Εκπαίδευση υπαλλήλων σχετικά με επιθέσεις DDoS
  • Ενημέρωση εφαρμογών, λογισμικών και συστημάτων
  • Εφαρμογή ισχυρών εργαλείων παρακολούθησης δικτύου και συστημάτων ανίχνευσης για τον γρήγορο εντοπισμό ύποπτων μοτίβων traffic
  • Χρήση αξιολογήσεων κινδύνου για εντοπισμό πιθανών ευπαθειών στην υποδομή του δικτύου
  • Εφαρμογή ενός Captcha challenge για έλεγχο αυτοματοποιημένων ρομπότ
  • Διαμόρφωση firewalls για φιλτράρισμα ύποπτων μοτίβων traffic και για αποκλεισμό traffic από γνωστές κακόβουλες διευθύνσεις IP

Πηγή: cybersecuritynews.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS