安全研究人员发现,OpenAI ChatGPT范例程序使用的对象存储服务MinIO存在信息泄露漏洞,可能导致企业环境参数信息外泄。 更糟的是,这漏洞已出现被滥用的情形。
上个月OpenAI宣布让ChatGPT支持外挂,可让开发人员为这个AI模型加入互联网的实时数据。 OpenAI表示这项功能秉持核心设计原则相同的安全等级开发,确保访问信息的安全与隐私。
不过安全厂商GrayNoise研究人员发现,OpenAI提供的其中一项范例程序所使用的物件储存MinIO 2022年3月17日版本的Docker映像文件有漏洞。 该漏洞为CVE-2023-28432,可能导致所有环境参数,包括MINIO_SECRET_KEY及MINIO_ROOT_PASSWORD外流。
MinIO是许多企业及开发人员爱用的多云对象储存框架,它兼容于AWS S3的API,使用AWS S3对象储存服务的用户在本地也可以用MinIO开发测试。
根据美国国家漏洞数据库,CVE-2023-28432这项信息泄露漏洞影响MinIO 2019-12-17T23-16-33Z以后版本,直到今年3月20日MinIO释出最新补好漏洞的版本(2023-03-20T20-16-18Z)。 使用有漏洞MinIO的丛集中,MinIO会回传给攻击者所有环境参数,包括登入凭证有关的参数MINIO_SECRET_KEY及MINIO_ROOT_PASSWORD外泄,导致信息泄露,所有分布式环境的用户都会受影响。 本漏洞CVSS 3.1风险值为7.5,属高风险漏洞。
研究人员说,目前没有迹象显示有任何特定攻击者已锁定ChatGPT使用的范例执行个体,但是的确观察到网络上已经有积极滥用活动。 研究人员警告,若攻击者大规模寻找及滥用有漏洞的MinIO服务,许多服务都将曝险,包括任何已部署、使用旧版MinIO的ChatGPT外挂。
这漏洞没有缓解方式,因此研究人员呼吁用户应升级到安全的版本,并整合像是dock-cli-scan,或使用GitHub内建的监控等安全工具来防范供应链漏洞。
