Atacantes estão explorando servidores proxy mal configurados para acessar serviços comerciais de modelos de linguagem grandes (LLM, na sigla em inglês).
Desde o fim de dezembro, uma campanha contínua já sondou mais de 73 endpoints de LLM, gerando mais de 80 mil sessões.
A plataforma de monitoramento de ameaças GreyNoise identificou que esses agentes utilizam prompts discretos para consultar os endpoints, tentando identificar o modelo de IA acessado sem disparar alertas de segurança.
Em relatório recente, a GreyNoise revelou que, nos últimos quatro meses, seu honeypot Ollama registrou 91.403 ataques, divididos em duas campanhas distintas.
A primeira operação, iniciada em outubro e ainda ativa, registrou um pico de 1.688 sessões em 48 horas durante o Natal.
Essa campanha explora vulnerabilidades de SSRF (Server-Side Request Forgery), que permitem ao invasor forçar o servidor a se conectar a uma infraestrutura externa sob seu controle.
Os pesquisadores explicam que o atacante conseguiu atingir seus objetivos usando a funcionalidade de "model pull" do Ollama para injetar URLs maliciosas em registries e integrações de webhooks Twilio SMS via parâmetro MediaURL.
Apesar disso, a GreyNoise observa que as ferramentas empregadas indicam que os responsáveis podem ser pesquisadores de segurança ou caçadores de bugs, já que utilizaram a infraestrutura OAST (Out-of-band Application Security Testing) do ProjectDiscovery, comum em avaliações de vulnerabilidades.
A telemetria apontou que a campanha partiu de 62 endereços IP em 27 países, todos com características semelhantes a VPS, sem evidências de botnets.
A segunda campanha, iniciada em 28 de dezembro, focou em uma ampla enumeração para identificar endpoints de LLM expostos ou mal configurados.
Em 11 dias, foram geradas 80.469 sessões, com dois IPs realizando sondagens sistemáticas em mais de 73 endpoints, utilizando formatos compatíveis com OpenAI e Google Gemini API.
Os modelos visados abrangem os maiores provedores do mercado, como:
- OpenAI (GPT-4o e variantes)
- Anthropic (Claude Sonnet, Opus, Haiku)
- Meta (Llama 3.x)
- DeepSeek (DeepSeek-R1)
- Google (Gemini)
- Mistral
- Alibaba (Qwen)
- xAI (Grok)
Para evitar alertas ao testar o acesso aos serviços LLM, os invasores enviavam consultas inofensivas, como saudações curtas, entradas vazias ou perguntas factuais.
Segundo a GreyNoise, a infraestrutura usada no escaneamento já esteve associada a atividades de exploração de vulnerabilidades em larga escala, o que indica que essa enumeração é uma fase organizada de reconhecimento para mapear serviços LLM acessíveis.
Embora o relatório não tenha constatado exploração, roubo de dados ou uso indevido dos modelos após a descoberta, o comportamento sugere intenções maliciosas.
“80 mil requisições de enumeração demonstram investimento significativo”, alertam os pesquisadores. “Atores de ameaça não mapeiam infraestrutura em escala assim sem planos para utilizar esse mapa.”
Para se defender contra essas ameaças, recomenda-se restringir a funcionalidade de model pull do Ollama apenas a registries confiáveis, aplicar filtros de saída (egress filtering) e bloquear domínios conhecidos dos callbacks OAST no nível DNS.
Além disso, medidas contra a enumeração devem incluir limitação de taxa em ASNs suspeitos e monitoramento de fingerprints de rede JA3 relacionados a ferramentas automatizadas de escaneamento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...