ChatGPT выиграл конкурс хакеров Pwn2Own

ChatGPT выиграл конкурс хакеров Pwn2Own

Чат-бот помог исследователям безопасности взломать промышленное ПО и выиграть $20 000.

image

Впервые в истории багхантеры использовали ChatGPT в конкурсе Pwn2Own для взлома ПО, используемого в промышленных приложениях, и выиграли $20 000.

На прошлой неделе в Майами, Флорида, команда Claroty Team82 с помощью ChatGPT провела атаку с удаленным выполнением кода против Softing edgeAggregator Siemens — программного обеспечения, которое обеспечивает связь на интерфейсе между OT (операционными технологиями) и ИТ в промышленных приложениях.

Исследователи безопасности обнаружили уязвимость в клиенте унифицированной архитектуры OPC (OPC UA) в пакете промышленного ПО «edgeAggregator». OPC UA — это протокол связи между машинами, используемый в промышленной автоматизации.

Обнаружив ошибку, исследователи попросили ChatGPT разработать внутренний модуль для сервера OPC UA, чтобы протестировать RCE-эксплойт. Этот модуль нужен для создания вредоносного сервера для атаки на уязвимый клиент. Специалисты признали, что им пришлось внести множество модификаций в код, чтобы техника эксплуатации сработала и получился работоспособный серверный модуль.

ChatGPT предоставил полезный инструмент, который сэкономил время исследователям и предоставил им возможность больше сосредоточиться на реализации эксплойта, а также избавил их от необходимости обучаться написанию внутреннего модуля.

«Это похоже на многократный поиск в Google определенного шаблона кода, а затем добавление нескольких итераций модификации кода в зависимости от наших конкретных потребностей, исключительно путем указания того, чего мы хотим достичь», — сказали специалисты.

Эксперты добавили, что именно так киберпреступники будут использовать ChatGPT в реальных атаках на промышленные системы, и при этом необязательно знать все аспекты конкретной цели. Специалисты добавили, что может не уметь писать эксплойты, но он может предоставить «последний фрагмент головоломки, необходимый для успеха». Использование ChatGPT в этой атаке показывает, как ИИ может помочь превратить уязвимость в эксплойт — при условии, если задавать ему правильные вопросы и игнорировать неправильные ответы.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!