Check Point Research alerta sobre vulnerabilidades con ChatGPT y Codex de OpenAI

Por Orlando Rojas PÉrez – Check Point Research -CPR- alerta sobre vulnerabilidades en la aplicación de red social ChatGPT -la aplicación de moda del año pasado- y en el código de Codex, ambos de OpenAI. Los investigadores utilizaron ChatGPT y Codex para producir correos electrónicos maliciosos, código, y una cadena de infección completa capaz de obtener acceso a otros computadores en forma remota. Check Point Research advierte de los peligros potenciales que las nuevas tecnologías de Inteligencia Artificial, como ChatGPT, pueden tener en el panorama de las ciber-amenazas.

 

SUSTENTACIÓN
Para comprender la ejecución de los ataques debemos explicar a quÉ se le llama Shell -concha- en programación. Es un programa que actuando como una interfaz, permite ingresar comandos a un sistema operativo desde un teclado físico o simulado, es importante aclarar que sin necesidad de usar la Interfaz Gráfica del Usuario -GUI-, lo hace desde la ventana de comandos en el caso de Windows. La única limitante son los privilegios del usuario con que se ejecuta la Shell. 

Existen tres actores importantes: la máquina objetivo, la máquina atacante y el programa que escucha lee, las solicitudes y respuestas de la conexión, que han instalado, configurado y ejecutado en la máquina objetivo.

Al usar una Shell directa, la máquina objetivo se pone a escuchar la solicitud de conexión, es decir, ejecuta un programa que actúa como un servidor, que espera que alguien -un programa cliente- haga la conexión.

Cuando se valen de una Shell inversa operan de forma inversa a la Shell directa; el atacante dispone una máquina en la que ejecuta un programa que escucha de solicitudes de conexión. La máquina objetivo -la máquina que es atacada- se conecta hacia el servidor.

Check Point Research documenta sus hallazgos y subraya la importancia de la vigilancia al usar ChatGPT de Open AI, CPR creó un correo electrónico de pesca -phishing-, con un documento de Excel que contenía código malicioso capaz de descargar Shells inversos. Los ataques de Shell inverso tienen como objetivo conectarse a un computador remoto y redirigir las conexiones de entrada y salida del Shell del sistema objetivo para que el atacante pueda acceder a él de forma remota.

CPR logró que el código malicioso realizará las siguientes acciones:

1 - Suplantación de identidad de una empresa de alojamiento.

2 - Producir un correo electrónico de pesca con un archivo adjunto malicioso de Excel.

3 - Crear un código en lenguaje Microsoft Visual Basic Application -VBA-  malicioso dentro de un documento de Excel.

 

CPR también fue capaz de generar código malicioso utilizando Codex, con el que se logró realizar peticiones al sistema operativo tales como:

1 - Ejecutar un guion código de Shell inverso en una máquina con sistema operativo Windows y conectarse a una dirección IP específica.

2 - Comprobar si la URL es vulnerable a la inyección de código de base de datos SQL iniciando sesión como administrador.

3 - Escribir un guion de código en lenguaje Python que ejecute un barrido de puertos completos en una máquina de destino, para conocer qué puertos puede utilizar para conectarse.

 

DECLARACIÓN
Manuel Rodríguez gerente de Ingeniería de Seguridad para América Latina de Check Point Software- declaró: “ChatGPT tiene el potencial de alterar significativamente el panorama de amenazas cibernéticas. Ahora cualquier persona con recursos mínimos y cero conocimientos en código puede explotarlo fácilmente. Es fácil generar correos electrónicos y códigos maliciosos. Creo que estas tecnologías de IA representan otro paso adelante en la peligrosa evolución de capacidades cibernéticas cada vez más sofisticadas y efectivas. El mundo de la ciberseguridad está cambiando rápidamente y queremos enfatizar la importancia de permanecer atentos a la evolución de ChatGPT y Codex, ya que esta tecnología nueva y en desarrollo puede afectar el panorama de amenazas, tanto para bien como para mal”.
e

 

 

Ver nota:

Papa caliente para MinTIC

Papa caliente para MinTIC
Debe confirmar al nuevo dueño beneficiario final del Canal Uno y su nacionalidad.
http://www.evaluamos.com/?home/detail/18268

 

 

 

 

Copyright © 2000 - 2017 Evaluamos. Todos los derechos reservados.