Twilio曝光SDK,攻击者植入恶意代码

2020-07-23 16:34:03

Twilio今天透露,其TaskRouter JS SDK在获得了一个配置错误的亚马逊AWS S3存储桶的访问权限后,被攻击者攻破,自2015年以来,这使得SDK的路径在大约5年内都是公开可读和可写的。

Twilio是一家云通信平台即服务(CPaaS)公司,为40,000多家企业提供通信支持,并帮助开发人员使用Twilio的Web服务API将语音、视频、消息传递和身份验证功能添加到他们的应用程序中。

该公司的客户名单包括Twitter、Netflix、Uber、Facebook Shopify、摩根士丹利(Morgan Stanley)、Airbnb、Wix、Spotify、Yelp、Hulu、Intuit、ING、eBay以及无数其他公司。

根据Twilio今天发布的一份事件报告,攻击者仅在客户使用的TaskRouter JS SDK库版本1.20内注入恶意代码,以便通过基于TaskRouter属性的路由引擎将任务路由到代理或进程。

Twilio说,由于托管库的S3存储桶中的配置错误,不良行为者能够注入代码,使用户的浏览器加载与Magecart攻击组关联的无关URL。

该公司表示,其安全和产品团队在最初接到攻击警报后一小时内更换了恶意的TaskRouter JS SDK库,并确保了S3存储桶的安全。

在7月19日星期天,我们意识到对我们托管的一个Javascript库进行了修改,以便我们的客户将其包含在他们的应用程序中。修改版本的TaskRouter JS SDK已于太平洋标准时间下午1:12(UTC-07:00)上传到我们的网站。我们在太平洋标准时间晚上9:20左右收到关于修改文件的警报,并在太平洋标准时间晚上10:30左右在我们的网站上更换了该文件。--Twilio。

正如Twilio解释的那样,修改后的TaskRouter JS SDK库可能在更换后通过用户浏览器或通过该公司的CDN再提供长达24小时。

Twilio表示,到目前为止还没有发现攻击者获得任何客户信息或数据的证据。攻击者也无法访问Twilio的任何内部系统、代码或数据。

在最初的补救和对其他AWS S3存储桶的审计之后,该公司在审计后还发现了其他不安全的存储桶,但表示没有其他托管的SDK在事件中受到影响。

同样在事件审查期间,该公司发现托管TaskRouter JS SDK的路径在近五年的时间里一直配置为公共写入访问权限。

在我们的事件审查期间,我们发现此路径在2015年添加时最初未配置公共写访问权限。5个月后,我们在解决其中一个构建系统的问题时实现了一项更改,一旦问题得到修复,该路径上的权限就无法正确重置。--Twilio。

Twilio说,虽然Twilio Flex使用TaskRouter为代理提供交互路由,但Flex客户并未受到此问题的影响。Twilio Flex为TaskRouter使用不同的SDK,不从公共站点加载,并将其捆绑为flex-UI的单个JS文件的一部分。";

然而,该公司也敦促客户,如果他们在SDK被泄露时下载了它,请立即更换受影响的SDK。

如果您在PDT时间2020年7月19日下午1:12到PDT时间7月20日10:30(UTC-07:00)之间下载了TaskRouter JS SDK的1.20版本,请立即重新下载该SDK,并将旧版本替换为我们当前服务的版本。--Twilio。

正如Twilio在分析攻击者注入的JavaScript代码时发现的那样,这些代码实际上是一个恶意的流量重定向器-RiskIQ追踪的重定向器名为jqueryapi1oad-并与一项名为IHookads的长期广告活动有关。

Hookads使用JavaScript重定向器通过一系列看起来像在线广告和在线游戏的诱骗网站来重定向网站访问者,最终目标是使用利用工具套件安装恶意软件有效负载。

正如RiskIQ威胁研究员乔丹·赫尔曼告诉BleepingComputer的那样,jqueryapi1oad连接到671个独特的域名,其中包括Alexa排名前1500的域名。自本月初以来,我们检测到173个新受影响的域名。

赫尔曼还表示,TTwilio妥协是不安全的Amazon S3存储桶被用作攻击载体的又一次实例。

由于攻击者很容易找到他们,而且他们的访问级别很高,我们看到这样的攻击正在以惊人的速度发生。

黑客只不过是@RiskIQ大约几个月前写的一个不安全的S3桶:https://t.co/y8KfAmoTEa这里的实际攻击者是我们所说的钩子/jqueryapi1oad,我的同事@tracerspiff写道:https://t.co/y8KfAmoTEa。

-Yonathan Klijnsma(@ydklijnsma)2020年7月22日。

Twilio发现,注入到TaskRouter JS SDK库中的恶意代码从Tgold.platinumus[.]top/Track/awswrite加载一个URL,然后重定向到其他网站,阻止使用浏览器的后退按钮,试图一路上收集与移动设备相关的数据。

Twilio说,这个脚本还特别尝试收集有关用户触摸屏大小的数据,并使用针对移动设备的事件。

这一行为,连同这些指标,与针对移动设备用户的Magecart攻击组相关的恶意广告活动是一致的。

我们认为该攻击旨在向移动设备上的用户提供恶意广告。

@Twilio事件中的重定向活动来自一家多产的流量分销商,该分销商从事恶意广告、广告欺诈、技术诈骗和一度略读。我们在这里进行了报道:https://t.co/1SxOj9lRTW cc@serghei。

-杰罗姆·塞古拉(@jeromesegura)2020年7月22日