Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF ou server side request forgery) no ChatGPT, identificada como CVE-2024-27564, está sendo explorada contra entidades governamentais e financeiras nos EUA. O problema, classificado como de gravidade média, afeta o arquivo pictureproxy.php e permite que atacantes injetem URLs maliciosas, forçando o sistema a fazer requisições arbitrárias. Descoberta em setembro de 2023, a falha foi divulgada publicamente há um ano e possui código de exploração de prova de conceito (PoC) disponível.
Leia também
Dispositivos brasileiros têm 192 incidentes/mês
Cibercrime manda malware via plataformas legítimas
Segundo a empresa de segurança Veriti, mais de 10.000 tentativas de exploração foram registradas em uma única semana, originadas de um único endereço IP. A vulnerabilidade está sendo explorada por agentes de ameaças que buscam sistemas vulneráveis na internet. Cerca de um terço das organizações visadas estão em risco devido a configurações incorretas em suas soluções de proteção. Embora os principais alvos sejam instituições dos EUA, empresas na Alemanha, Tailândia, Indonésia, Colômbia e Reino Unido também foram atingidas.
O setor financeiro e empresas de fintech são particularmente vulneráveis, pois dependem de integrações de API e serviços baseados em IA, que podem ser explorados para acesso não autorizado a dados sensíveis. Além disso, o ataque pode comprometer recursos internos e operações financeiras, tornando essa ameaça especialmente preocupante para bancos e instituições que lidam com informações sigilosas.
Mesmo sendo considerada de gravidade média, a CVE-2024-27564 já está sendo utilizada em ataques reais. A Veriti recomenda que as organizações corrijam a vulnerabilidade imediatamente, revisem suas configurações de firewall e sistemas de prevenção de intrusão (IPS) e monitorem logs para detectar atividades suspeitas. A negligência em resolver falhas desse tipo pode resultar em perdas financeiras significativas, principalmente para empresas de grande porte.
