Twilio espone SDK, gli aggressori lo iniettano con codice malvertising
23 Luglio 2020 - Tempo di lettura: 9 minuti
Twilio ha rivelato oggi che il suo SDK TaskRouter JS è stato compromesso dagli hacker dopo aver ottenuto l'accesso a uno dei suoi bucket Amazon AWS S3 non configurati che contiene il percorso dell'SDK pubblicamente leggibile e scrivibile per circa cinque anni, dal 2015.
Twilio è una piattaforma di comunicazione cloud come società di servizi (CPaaS) che gestisce le comunicazioni per oltre 40.000 aziende e aiuta gli sviluppatori ad aggiungere funzionalità vocali, video, di messaggistica e di autenticazione alle loro app utilizzando le API dei servizi Web di Twilio.
L'elenco dei clienti dell'azienda comprende Twitter, Netflix, Uber, Shopify, Morgan Stanley, Airbnb, Wix, Spotify, Yelp, Hulu, Intuit, ING, eBay e innumerevoli altri.
Secondo un rapporto sugli incidenti pubblicato oggi da Twilio, gli aggressori hanno iniettato il codice dannoso solo nella versione 1.20 della libreria SDK TaskSouter JS utilizzata dai clienti per indirizzare attività verso agenti o processi tramite il motore di routing basato su attributi Twilio TaskRouter.
"A causa di un'errata configurazione nel bucket S3 che ospitava la libreria, un cattivo attore è stato in grado di iniettare codice che ha fatto caricare al browser dell'utente un URL estraneo che è stato associato al gruppo di attacchi Magecart", ha detto Twilio.
SDK dannoso servito per almeno 24 ore
La società afferma che i suoi team di sicurezza e di prodotto hanno sostituito la libreria malevola SDK TaskRouter JS e hanno protetto il bucket S3 entro un'ora dopo essere stato avvisato inizialmente dell'attacco.
Domenica 19 luglio, ci siamo resi conto di una modifica apportata a una libreria Javascript che ospitiamo per i nostri clienti da includere nelle loro applicazioni. Una versione modificata dell'SDK TaskSouter JS è stata caricata sul nostro sito alle 13:12 PDT (UTC-07: 00). Abbiamo ricevuto un avviso sul file modificato alle 21:20 circa PDT e lo abbiamo sostituito sul nostro sito intorno alle 22:30 PDT. - Twilio
Come spiegato da Twilio, la libreria JK SDK TaskRouter modificata potrebbe essere stata disponibile tramite i browser degli utenti o tramite la rete CDN dell'azienda per altre 24 ore dopo la sua sostituzione.
Twilio afferma di non aver finora trovato prove degli aggressori che hanno avuto accesso a informazioni o dati dei clienti. Inoltre, gli aggressori non erano in grado di accedere a nessuno dei sistemi interni, codice o dati di Twilio.
Dopo la correzione iniziale e un controllo degli altri bucket AWS S3, la società ha anche trovato altri bucket non garantiti dopo un audit, ma afferma che nessun altro SDK ospitato è stato interessato dall'incidente.
Inoltre, durante la revisione dell'incidente, la società ha scoperto che il percorso che ospitava l'SDK JS TaskRouter è stato configurato con accesso in scrittura pubblica per quasi cinque anni.
Durante la nostra recensione degli incidenti, abbiamo identificato che questo percorso non era inizialmente configurato con accesso in scrittura pubblica quando è stato aggiunto nel 2015. Abbiamo implementato una modifica 5 mesi dopo durante la risoluzione di un problema con uno dei nostri sistemi di build e le autorizzazioni su quel percorso non erano resettato correttamente dopo aver risolto il problema. - Twilio
Twilio ha affermato che "mentre Twilio Flex utilizza TaskRouter per fornire il routing delle interazioni agli agenti, questo problema non è stato influenzato dai clienti Flex. Twilio Flex utilizza un SDK diverso per TaskRouter, non lo carica dal sito pubblico e lo raggruppa come parte di un singolo file JS per flex-ui. "
Tuttavia, la società ha anche invitato i clienti a sostituire immediatamente l'SDK interessato se lo hanno scaricato mentre era compromesso.
Se hai scaricato una copia della v1.20 dell'SDK JS TaskRouter tra il 19 luglio 2020 13:12 e il 20 luglio, 22:30 PDT (UTC-07: 00), devi scaricare nuovamente l'SDK immediatamente e sostituirlo la vecchia versione con quella attualmente in uso. - Twilio
La connessione Magecart
Come Twilio ha scoperto mentre analizzava il codice JavaScript iniettato dagli aggressori, il codice è in realtà un redirector di traffico dannoso - monitorato da RiskIQ come jqueryapi1oad - ed è collegato a una campagna pubblicitaria di lunga durata nota come Hookads.
Hookads utilizza i redirector JavaScript per reindirizzare i visitatori del sito Web attraverso una serie di siti di richiamo che sembrano annunci online e giochi online con l'obiettivo finale di installare payload di malware utilizzando kit di exploit.
jqueryapi1oad è collegato a 671 domini univoci, "incluso un dominio nella top 1500 delle classifiche Alexa", come ha detto a BleepingComputer il ricercatore di RiskIQ Jordan Herman. "Abbiamo rilevato 173 domini appena interessati dall'inizio del mese."
Herman ha anche affermato che il compromesso di Twilio è l'ennesima istanza di bucket Amazon S3 non garantite utilizzate come vettore di attacco.
"A causa di quanto siano facili da trovare e il livello di accesso che garantisce agli aggressori, stiamo assistendo a attacchi del genere che si verificano ad un ritmo allarmante."
Twilio ha scoperto che il codice dannoso iniettato nella libreria SDK TaskSouter JS carica un URL da gold.platinumus [.] Top / track / awswrite e quindi reindirizza ad altri siti, bloccando l'uso del pulsante Indietro del browser, tentando di raccogliere dati relativi a dispositivi mobili lungo la strada.
"Questo script tenta inoltre di raccogliere dati sulla dimensione del touchscreen dell'utente e utilizza eventi destinati ai dispositivi mobili", ha affermato Twilio.
"Questo comportamento, insieme agli indicatori, è coerente con una campagna di malvertising associata al gruppo di attacchi Magecart contro gli utenti di dispositivi mobili.
Riteniamo che l'attacco sia stato progettato per offrire pubblicità dannosa agli utenti su dispositivi mobili".
