Hackers exploram vulnerabilidade SSRF em GPTs

Hackers exploram vulnerabilidade SSRF em GPTs personalizados para roubar segredos do ChatGPT.

Um pesquisador de cibersegurança descobriu uma vulnerabilidade de falsificação de requisição do lado do servidor (SSRF) no ChatGPT da OpenAI.

A falha, oculta no recurso de GPTs personalizados, permitia que invasores potencialmente acessassem segredos confidenciais da infraestrutura em nuvem, incluindo tokens da API de gerenciamento do Azure .

Divulgado através do programa de recompensas por bugs da OpenAI, o problema foi corrigido rapidamente, mas ressalta os perigos persistentes de SSRF em serviços de IA baseados em nuvem.

Ao desenvolver um GPT personalizado, uma ferramenta premium do ChatGPT Plus para criar assistentes de IA sob medida, o pesquisador notou a seção “Ações”.

Este recurso permite que os usuários definam APIs externas por meio de esquemas OpenAPI, possibilitando que o GPT busque dados de URLs especificados pelo usuário e os incorpore às respostas. Exemplos incluem a consulta a APIs de previsão do tempo para obter informações baseadas em localização.

No entanto, a possibilidade de fornecer URLs arbitrárias despertou o “instinto hacker” do pesquisador, levando-o a investigar uma vulnerabilidade de SSRF .

Um ataque SSRF ocorre quando um aplicativo, sem saber, encaminha solicitações fornecidas pelo usuário para destinos não intencionais, geralmente redes internas ou endpoints de metadados na nuvem.

Classificado no Top 10 da OWASP desde 2021, o SSRF explora o acesso privilegiado do servidor ao qual os atacantes não têm acesso direto.

Os impactos variam desde a exfiltração de dados em variantes de “leitura completa”, onde as respostas são retornadas ao atacante, até SSRF “cego”, que permite a varredura de portas ou interações com serviços por meio de diferenças de tempo.

Em ambientes de nuvem como Azure, AWS ou GCP, o SSRF pode escalar drasticamente ao visar serviços de metadados de instância (IMDS), acessíveis apenas localmente em endpoints como http://169.254.169.254.

Esses arquivos contêm detalhes cruciais: IDs de instâncias, configurações de rede e credenciais temporárias para acesso mais amplo à API.

O pesquisador teve como alvo o backend hospedado no Azure do ChatGPT. As tentativas iniciais de direcionar a URL da API para o IMDS falharam; o sistema impôs o HTTPS, bloqueando o endpoint de metadados que aceita apenas HTTP.

Sem se deixarem abalar, eles empregaram uma tática clássica de bypass: um redirecionamento 302. Usando uma ferramenta semelhante ao Burp Collaborator, o pesquisador hospedou um endpoint HTTPS que redirecionava para o URL interno do IMDS.

Ao ser testado através do botão “Testar” do GPT, o ChatGPT seguiu o redirecionamento e buscou os metadados, mas apenas parcialmente. O Azure exige um cabeçalho “Metadata: True” para acesso, mas ele estava ausente, resultando em um erro.

Uma execução mais aprofundada revelou uma solução alternativa nas configurações de autenticação. Ao nomear uma chave de API personalizada como “Metadata” e definir seu valor como “True”, o cabeçalho foi inserido na solicitação. Sucesso: o GPT retornou os dados do IMDS.

Escalando a situação, o pesquisador solicitou um token OAuth2 para a API de gerenciamento do Azure (recurso: https://management.azure.com/, versão da API: 2025-04-07).

A resposta incluiu um token válido, concedendo controle potencial sobre os recursos de nuvem do ChatGPT, como a criação de instâncias ou a consulta de armazenamento.

Reportada imediatamente à OpenAI através do Bugcrowd, a vulnerabilidade recebeu um status de alta gravidade, não tão prejudicial quanto explorações anteriores, como a execução remota de código em centenas de instâncias EC2, mas grave o suficiente para expor segredos da infraestrutura.

A OpenAI corrigiu o problema rapidamente, provavelmente reforçando a validação de URLs, o tratamento de redirecionamentos e os controles de cabeçalho.

Este incidente destaca a natureza ambígua da IA: recursos inovadores como GPTs personalizados aumentam a utilidade, mas expandem as superfícies de ataque.

Com a crescente adoção da nuvem, os desenvolvedores precisam priorizar medidas de mitigação contra SSRF, como listas de permissão de IP e aplicação de protocolos. Para os usuários, isso reforça a vigilância, mesmo que a IA “útil” possa ser um vetor de comprometimento.

Por: Divya Divya é jornalista sênior da GBhackers

Veja também:

• Louvre senha: Louvre
• Cresce número de incidentes reportados à ANPD
• Empresas tem desafio de equilibrar segurança cibernética e inovação
• A falsa sensação de segurança
• Incidente AWS reforça importânica do BCP
• Da inovação à proteção: os desafios da cibersegurança na era da IA
• Guerra digital: como a segurança dos pagamentos se reinventa
• Como SOCs enfrentam as ameaças cibernéticas no Brasil
• Novas vulnerabilidades de IA abrem caminho para vazamento de dados
• 38% dos internautas brasileiros utilizam VPNs regularmente
• Protocolo DeFi sofre ataque de R$ 688 milhões
• Microsoft é alvo de 40% dos ataques de phishing de marca