安全简讯（2025.03.18）

文章预览

1. CVE-2024-27564漏洞：ChatGPT基础设施面临SSRF攻击威胁 3月17日，网络安全公司Veriti在其最新研究报告中揭示了OpenAI的ChatGPT基础设施中存在的一个服务器端请求伪造（SSRF）漏洞，即CVE-2024-27564，尽管该漏洞被归为中等严重程度，但在现实世界中已被积极利用。Veriti发现，一周内就有10,479次攻击尝试源自同一恶意IP地址。此外，35%的组织因安全系统配置错误而未能获得充分保护，其中美国遭受的攻击最为集中，占比33%，其次是德国和泰国，均为7%。攻击活动在1月份激增，随后有所下降。金融行业成为主要攻击目标，因其严重依赖AI服务和API集成，易受SSRF攻击威胁，可能导致数据泄露、未经授权的交易、监管处罚和声誉损害。Veriti强调，不应忽视中等严重程度的漏洞，因为攻击者会利用任何找到的弱点。研究指出，漏洞优先级排序不应仅依赖严重程度评分 ………………………………