Die Verwendung eigenständiger KI-Chatbots bietet Vorteile gegenüber cloudbasierten Alternativen wie OpenAI. Es bestehen jedoch auch einige Sicherheitsrisiken.

Untersuchungen zeigen, dass NextChat, ein beliebter eigenständiger Chatbot mit über 7500 exponierten Instanzen, anfällig für eine kritische SSRF-Schwachstelle ist (CVE-2023-49785), die es Angreifern potenziell ermöglicht, auf interne Systeme und Daten zuzugreifen.

Benutzeroberfläche von NextChat

Die Schwachstelle wurde dem Anbieter im November 2023 gemeldet, aber da nach 90 Tagen kein Patch verfügbar ist, werden technische Details öffentlich veröffentlicht.

CVE-2023-49785: Ein Super-SSRF

NextChat, eine mit Next.js erstellte Javascript-Anwendung, weist eine kritische Sicherheitslücke auf. Seine Kernfunktionalität läuft auf der Clientseite. Ein serverseitiger Endpunkt namens „/api/cors“ fungiert als offener Proxy, der es jedem ermöglicht, nicht autorisierte Anfragen an jeden externen Server zu senden.

Dieser Endpunkt wurde entwickelt, um das Speichern von Chat-Daten auf WebDAV-Servern zu ermöglichen und umgeht die Sicherheitsmaßnahmen des Browsers.

Benutzer können es ausnutzen, um auf unbeabsichtigte Ressourcen zuzugreifen, indem sie Anfragen erstellen, die die Anwendung blind weiterleitet, so wie ein Benutzer über diese Lücke auf google zugreifen könnte.

Es besteht eine kritische SSRF-Schwachstelle (Server-Side Request Forgery), die es Angreifern ermöglicht, sich unbefugten Zugriff auf interne Systeme und möglicherweise das gesamte Netzwerk zu verschaffen. Diese Sicherheitslücke bietet Angreifern die Möglichkeit:

  • Erreichen Sie jeden internen HTTP-Endpunkt, auch sensible.
  • Laden Sie vollständige Antworten von den Zielendpunkten herunter.
  • Nutzen Sie verschiedene HTTP-Methoden (POST, PUT usw.) mit benutzerdefinierten Anforderungstexten.
  • Bearbeiten Sie URL-Parameter durch Kodierung.
  • Fügen Sie Autorisierungsheader in Anfragen ein.

Wenn die Anwendung über das Internet zugänglich ist, kann ein Angreifer möglicherweise das gesamte interne Netzwerk gefährden, das mit der Anwendung verbunden ist. Zwar bestehen Einschränkungen beim direkten Einfügen bestimmter Header, es können jedoch mögliche Problemumgehungen bestehen.

Siehe auch  Die 10 wichtigsten Einschränkungen von ChatGPT, die Sie kennen müssen

Diese Schwachstelle ist aufgrund ihrer umfangreichen Zugriffsmöglichkeiten und der Möglichkeit der Exfiltration sensibler Daten besonders gefährlich.

Zugriff auf den AWS-Cloud-Metadatendienst, um AWS-Zugriffsschlüssel von einer AWS EC2-Instanz abzurufen, die mit aktiviertem IMDSv1 ausgeführt wird

Reflektiertes XSS:

Eine bestimmte reflektierte XSS-Schwachstelle umgeht die Notwendigkeit externer Ressourcen und der Anwendung /api/cors Endpunkt nutzt die bringen Methode, die das Datenprotokoll ermöglicht.

Ein Angreifer kann eine schädliche Nutzlast in die in Base64 codierte Daten-URL einschleusen, die JavaScript-Code enthält, um beim Erreichen des Servers eine Warnung mit der Domäne der Website anzuzeigen.

Da der Server die Daten ohne ordnungsgemäße Bereinigung an den Client zurückgibt, wird das Skript im Browser des Opfers ausgeführt, was zu einem erfolgreichen XSS-Angriff führt.

Erkennung und Schadensbegrenzung:

In chatgpt-Next-Web (Versionen 2.11.2 und früher) besteht eine kritische Schwachstelle (CVE-2023-49785), die Angreifern durch gefälschte Anfragen vollständigen Lese- und Schreibzugriff auf interne Systeme ermöglicht.

Außerdem kann die Anwendung als offener Proxy ausgenutzt werden, um ihre IP-Adresse zu maskieren und böswilligen Datenverkehr umzuleiten.

Entsprechend der Horizon3ai Zeitplan für die Offenlegung von Sicherheitslücken:

  • 25. November 2023: Horizon3 meldet ein Sicherheitsproblem über den GitHub-Prozess zur Offenlegung von Sicherheitslücken an ChatGPT-Next-Web
  • 26. November 2023: Der Lieferant akzeptiert die Meldung
  • 6. Dez. 2023: GitHub CNA reserviert CVE-2023-49785
  • 15. Januar 2024: Horizon3 fordert Anbieter aufgrund des GitHub-Sicherheitsproblems zu einem Update auf. Keine Antwort.
  • 7. März 2024: Horizon3 fordert Anbieter aufgrund des GitHub-Sicherheitsproblems zu einem Update auf. Keine Antwort.
  • 11. März 2024: Öffentliche Offenlegung

Vermeiden Sie die Online-Nutzung dieser Software. Wenn eine Internetexposition unvermeidbar ist, ist ein sicheres, isoliertes Netzwerk ohne Zugriff auf interne Ressourcen erforderlich. Auch isoliert könnten Angreifer die Software als offenen Proxy nutzen, um bösartigen Datenverkehr zu verbergen, der auf andere Systeme abzielt.

Siehe auch  Lernen Sie den gruseligen KI-Kopf kennen, der ChatGPT ein Gesicht geben will

Bleiben Sie über Neuigkeiten, Whitepapers und Infografiken zur Cybersicherheit auf dem Laufenden. Folge uns auf LinkedIn & Twitter.

5/5 - (118 votes)
Anzeige
Nina Weber
Nina Weber is a renowned Journalist, who worked for many German Newspaper's Tech coloumns like Die Zukunft, Handelsblatt. She is a contributing Journalist for futuriq.de. She works as a editor also as a fact checker for futuriq.de. Her Bachelor degree in Humanties with Major in Digital Anthropology gave her a solid background for journalism. Know more about her here.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein