SSRF em Custom GPTs permitiu extração de tokens Azure no ChatGPT | Cloud

Pesquisa revelou uma cadeia de SSRF no recurso "Actions" de Custom GPTs que, por meio de redirect e injeção de cabeçalho "Metadata: true", permitiu leitura do Azure IMDS e extração de um token OAuth2; a falha foi reportada ao OpenAI e corrigida.

Pesquisador descobriu uma cadeia de SSRF no recurso "Actions" de Custom GPTs que permitia ler o Azure Instance Metadata Service e obter um token OAuth2, relatório indica que a falha foi reportada e corrigida.

Resumo e descoberta

Durante experimentos com Custom GPTs, um pesquisador da Open Security encontrou uma Server-Side Request Forgery (SSRF) na funcionalidade de "Actions" — que permite a um GPT chamar APIs externas definidas via OpenAPI. A sequência explorou redirecionamentos e a capacidade de injetar cabeçalhos de autenticação para acessar o Azure Instance Metadata Service (IMDS) em 169.254.169.254.

Como a exploração funcionou

O fluxo descrito na fonte foi o seguinte: a feature exigia URLs HTTPS, mas o IMDS responde via HTTP. O pesquisador usou um endpoint HTTPS controlado que retornava um 302 redirect para http://169.254.169.254; o servidor seguiu o redirect. Inicialmente, o Azure bloqueou a resposta sem o cabeçalho "Metadata: true". Em seguida foi identificado que o formulário de autenticação aceitava pares de chave/valor ("API keys"). Ao criar uma chave chamada "Metadata" com valor "true", o cabeçalho necessário era injetado e o IMDS respondeu com dados, incluindo um OAuth2 token solicitado via /metadata/identity/oauth2/token?resource=https://management.azure.com/.

Impacto

Com o token obtido era possível solicitar recursos da API de gerenciamento Azure e potencialmente enumerar ou escalar acesso na infraestrutura de nuvem. A publicação cita que tokens extraídos em testes de pentest anteriores permitiram pivôs significativos em ambientes cloud. No caso do ChatGPT, isso significava risco de exposição de segredos de produção; a fonte relata que o pesquisador não considerou essa descoberta como o pior que já viu, mas a gravidade foi classificada como alta.

Resposta e mitigação

O problema foi reportado via programa Bugcrowd do OpenAI; a vulnerabilidade recebeu severidade alta e foi corrigida rapidamente pelo time responsável. Mitigações gerais contra SSRF descritas pela fonte incluem validação rigorosa de URLs de callback, restrição de destinos acessíveis pela aplicação, bloqueio de endereços de metadata internos e sanitização de cabeçalhos e redirects. Para plataformas que permitem definição de endpoints por usuários, a revisão de mecanismos de teste e injeção de headers é crítica.

Limitações e próximos passos

O relato explica a técnica utilizada (302 redirect + injeção de cabeçalho via campo de autenticação) e confirma correção pelo OpenAI, mas não divulga detalhes técnicos de mitigação interna implementada. Organizações que hospedam serviços sensíveis na nuvem devem revisar políticas de proteção de IMDS (por exemplo, exigir header Metadata: true e mecanismos de proteção de instância) e aplicar defesas inespecíficas a SSRF como egress filtering e validação de destinos.