Unikma.ac.id – Peneliti menemukan kerentanan pemalsuan permintaan Sisi Server (SSRF) di ChatGPT OpenAI. Kerentanan ini, yang tersembunyi dalam fitur “Tindakan” GPT Kustom, memungkinkan penyerang mengelabui sistem agar mengakses metadata cloud internal, yang berpotensi mengekspos kredensial Azure yang sensitif.
Bug yang ditemukan oleh Open Security selama percobaan kasual menyoroti risiko penanganan URL yang dikontrol pengguna dalam alat AI.
Kerentanan SSRF terjadi ketika aplikasi secara membabi buta mengambil sumber daya dari URL yang disediakan pengguna, yang memungkinkan penyerang memaksa server untuk mengakses tujuan yang tidak diinginkan. Hal ini dapat menerobos firewall, menyelidiki jaringan internal, atau mengekstrak data dari layanan istimewa.
Seiring berkembangnya adopsi cloud, bahaya SSRF meningkat; penyedia utama seperti AWS, Azure, dan Google Cloud mengekspos titik akhir metadata, seperti Azure di http://169.254.169.254, yang berisi detail instans dan token API.
Proyek Keamanan Aplikasi Web Terbuka (OWASP) menambahkan SSRF ke daftar 10 Teratas pada tahun 2021, yang menggarisbawahi prevalensinya dalam aplikasi modern.
Peneliti yang bereksperimen dengan Custom GPT, sebuah alat ChatGPT Plus premium untuk membangun asisten AI yang dirancang khusus, menemukan bagian “Tindakan”. Bagian ini memungkinkan pengguna menentukan API eksternal melalui skema OpenAPI, sehingga GPT dapat memanggil mereka untuk tugas-tugas seperti pencarian cuaca.
Antarmukanya mencakup tombol “Uji” untuk memverifikasi permintaan dan mendukung header autentikasi . Menyadari potensi SSRF, peneliti mengujinya dengan mengarahkan URL API ke Layanan Metadata Instans (IMDS) Azure.
Upaya awal gagal karena fitur tersebut menerapkan URL HTTPS, sementara IMDS menggunakan HTTP. Tanpa gentar, peneliti berhasil melewatinya menggunakan pengalihan 302 dari titik akhir HTTPS eksternal (melalui alat seperti ssrf.cvssadvisor.com) ke URL metadata internal. Server mengikuti pengalihan tersebut, tetapi Azure memblokir akses tanpa header “Metadata: true”.
Penyelidikan lebih lanjut menemukan solusi: pengaturan autentikasi mengizinkan “kunci API” khusus. Memberi nama “Metadata” dengan nilai “true” akan menyuntikkan header yang diperlukan.
Berhasil! GPT mengembalikan data IMDS, termasuk token OAuth2 untuk API manajemen Azure (diminta melalui /metadata/identity/oauth2/token?resource=https://management.azure.com/).
Token ini memberikan akses langsung ke lingkungan cloud OpenAI , yang memungkinkan enumerasi atau eskalasi sumber daya.
Dampaknya sangat parah. Dalam pengaturan cloud, token semacam itu dapat beralih ke kompromi penuh, seperti yang terlihat dalam uji penetrasi Open Security sebelumnya di mana SSRF menghasilkan eksekusi kode jarak jauh di ratusan instans.
Untuk ChatGPT, ada risiko kebocoran rahasia produksi, meskipun peneliti mencatat itu bukan yang paling parah yang pernah mereka temukan.
Kerentanan tersebut segera dilaporkan keprogram Bugcrowd OpenAI, dan tingkat keparahannya ditetapkan tinggi dan segera diperbaiki. OpenAI mengonfirmasi perbaikan tersebut, mencegah eksploitasi lebih lanjut.
—
Penulis: Benny Riswanto, M.Kom, Dosen Universitas Komputama (UNIKMA), Cilacap, Jawa Tengah
Editor: Muhamad Ridlo
