Incidente de seguridad de Twilio muestra peligro de …


Twilio dice que los atacantes accedieron a su sistema de almacenamiento en la nube mal configurado y alteraron una copia del JavaScript SDK que comparte con los clientes.

Twilio, el gigante de la plataforma como servicio de comunicaciones en la nube (CPaaS), ha confirmado un incidente de seguridad en el que los atacantes accedieron a un bucket de Amazon AWS S3 mal configurado y modificaron el SDK JavaScript de TaskRouter. La ruta del SDK había sido públicamente legible y editable desde 2015.

Más de 5 millones de desarrolladores y 150,000 empresas usan Twilio, que ofrece herramientas para ayudar a las empresas a mejorar las comunicaciones por voz, texto y video Sus API ayudan a los desarrolladores a incorporar voz, video clip y texto en sus aplicaciones. Twitter, Spotify, Hulu, Lyft, Yelp, Airbnb, Shopify, Uber, Netflix y Foursquare se encuentran entre los clientes de Twilio.

El 19 de julio, Twilio recibió una alerta sobre un cambio realizado en TaskRouter JS SDK, una biblioteca que aloja para ayudar a los clientes a interactuar con TaskRouter, que ofrece un motor de enrutamiento para enviar tareas a agentes o procesos. La versión alterada por el atacante de la biblioteca puede haber estado disponible en el CDN de Twilio o almacenada en caché por los navegadores de los usuarios hasta 24 horas después de que el código fue reemplazado en su sitio website, que fue aproximadamente una hora después de que Twilio se enteró del incidente.

Los atacantes pudieron cambiar el código de la biblioteca debido a una configuración incorrecta en el bucket S3 que albergaba la biblioteca. Inyectaron código que hizo que el navegador cargara una URL adicional que se había vinculado a los ataques de Magecart. Twilio no cree que esto haya sido dirigido a la empresa. Más bien, parece ser un ataque oportunista relacionado con una campaña para explotar cubos S3 abiertos para obtener ganancias financieras.

«No habíamos configurado correctamente la política de acceso para uno de nuestros depósitos de AWS S3», escribieron los funcionarios en un divulgar. Uno de sus depósitos S3 se utiliza para servir contenido de un dominio twiliocdn (.) Com aquí, aloja SDK de JavaScript del lado del cliente para Chat programable, Online video programable, Twilio Shopper y Twilio TaskRouter. Solo la versión 1.20 del SDK de TaskRouter se vio afectada por este problema, según la compañía.

Estos archivos se sirven a los usuarios a través de la red de entrega de contenido CloudFlare CDN, pero también están disponibles directamente en el bucket S3, donde Twilio ha configurado un conjunto de políticas de acceso para cada ruta donde se almacenan los archivos. No había configurado correctamente la política de acceso para la ruta que almacena el SDK de TaskRouter, lo que significa que cualquiera podría leer o escribir en esa ruta. Si bien esta ruta no se configuró inicialmente con acceso de escritura pública cuando se agregó en 2015, Twilio dice que esto cambió poco después.

«Implementamos un cambio 5 meses después al solucionar un problema con uno de nuestros sistemas de compilación y los permisos en esa ruta no se restablecieron correctamente una vez que se solucionó el problema», dijo la compañía.

Los atacantes de código inyectados son un redireccionador de tráfico malicioso, informan investigadores de RiskIQ que lo llaman «jqueryapi1oad» y dicen que se ha utilizado en otras campañas. En un análisis publicado en junio, su equipo detalla los ataques que aprovechan los cubos S3 para insertar código en los sitios world-wide-web. Jqueryapi1oad, llamado así por la cookie que el equipo conectó con él, parece estar relacionado con una campaña de publicidad maliciosa de larga duración. Se identificó por primera vez en julio de 2019 y hasta la fecha todavía se usa en 362 dominios únicos.

Esta campaña, denominada Hookads por RiskIQ, se ha vinculado previamente a kits de explotación y otros comportamientos maliciosos, informan los investigadores. Hookads redirige a los usuarios a diferentes sitios website señuelo y, finalmente, los envía a un sitio website donde se instala malware utilizando kits de exploit.

«El compromiso de Twilio fue otro ejemplo de los paquetes de Amazon S3 mal configurados utilizados como un vector de ataque», dice Jordan Herman, investigador de amenazas de RiskIQ. «Debido a lo fácil que son encontrar y el nivel de acceso que otorga a los atacantes, estamos viendo ataques como este a un ritmo alarmante».

Después de enterarse del ataque, Twilio bloqueó el cubo y subió una versión limpia de la biblioteca a la ruta del cubo. Realizó una auditoría de los buckets de AWS S3 y encontró otros con configuraciones de escritura incorrectas, pero dice que ningún otro SDK alojado se vio afectado. No hay evidencia que indique que un atacante haya accedido a los datos del cliente o cualquiera de sus sistemas internos, código o datos. Los clientes de Twilio Flex no se vieron afectados.

Los atacantes explotan un problema común
Como se indicó en este incidente y en la investigación de RiskIQ, los atacantes buscan cada vez más los cubos S3 expuestos para incorporar malware a un código legítimo. Al infectar a un único proveedor masivo, como Twilio, pueden afectar indirectamente a muchas más empresas que confían en él.

«Las aplicaciones net modernas hacen un uso extensivo de scripts de terceros y bibliotecas de código abierto, como la biblioteca TaskRouter publicada por Twilio», dice Ameet Naik, evangelista de seguridad en PerimeterX. «A menudo introducido sin una verificación adecuada, este código sombra introduce riesgos conocidos en la aplicación y expande enormemente la superficie de ataque».

Para agravar este riesgo es el problema muy común de los cubos de almacenamiento en la nube mal configurados, que han demostrado ser un problema constante para la seguridad empresarial en los últimos años. Solo en este año, cientos de miles de archivos se han expuesto accidentalmente porque los cubos S3 no se configuraron correctamente. Sería prudente que las empresas aprendan cómo protegerlas y, como Twilio hizo después de su incidente, realicen una auditoría para ver dónde pueden estar expuestas.

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Kelly Sheridan es la Editora de personal de Dark Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente informó para InformationWeek, donde cubrió Microsoft, y Insurance plan & Technology, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia authentic