Palo Alto обнаружили, что сканеры/зонды продолжают проверять уязвимость CVE-2024-27564 Server-Side Request Forgery (SSRF).
Описание
- Эта уязвимость затрагивает компонент инфраструктуры ChatGPT под названием pictureproxy.php, который используется для взаимодействия с интерфейсом OpenAI.
- Уязвимый файл pictureproxy.php, как сообщается, содержится в коммите f9f4bbc (https://github.com/dirk1983/chatgpt).
- https://github.com/dirk1983/chatgpt/blob/f9f4bbc99eed7210b291ec116bd57b3d8276bee5/pictureproxy.php
- Уязвимость позволяет GhatGPT выполнять вредоносные запросы.
- Эти запросы запрашивают файл /etc/passwd сервера или URL, используя домены Out-of-band Application Security Testing (OAST) для серверов Interactsh.
- Начиная с февраля 2025 года, Palo Alto наблюдают увеличение количества таких зондов, поражающих серверы, используемые в образовательных (на 16,6 %) и производственных (на 8 %) учреждениях, по сравнению с предыдущими месяцами 2025 года.
Примеры запросов, встречающихся при проверке на cve-2024-27564:
- http[:]//[домен потенциальной жертвы]/pictureproxy.php?url=file:///etc/passwd
- http[:]//[домен потенциальной жертвы]/pictureproxy.php?url=http://[URL, использующий OAST-домен для сервера Interactsh]
Indicators of Compromise
IPv4
- 103.120.235.93
- 103.67.196.166
- 109.243.5.194
- 114.10.44.134
- 114.10.44.175
- 114.10.44.40
- 157.66.54.166
- 159.192.123.190
- 178.128.83.133
- 207.102.138.19
- 212.237.124.38
- 212.237.125.44
- 23.95.134.16
- 31.56.56.156
- 38.242.132.29
- 46.205.196.24
- 83.24.167.245
- 94.156.177.106
Domains
- 0st.fun
- a.xdnso.cc
- dns.outbound.watchtowr.com
- dnslog.cn
- interactsh.icedcaphe.net
- i-sh.detectors-testing.com
- ish.redteam.tf
- it.h4.vc
- mooo-ng.com
- netspi.sh
- oast.fun
- oast.live
- oast.me
- oast.online
- oast.pro
- oast.site
- oast.today
- rsfi.info
- zonduu.online
