攻击者利用Twilio’错误配置的云存储,将恶意代码注入SDK

特威里奥已经确认,在7月19日的大约8个小时内,他们的一个AWS S3存储桶中正在提供其TaskRouter JS SDK的恶意版本。

特威里奥恶意SDK

“由于托管该库的S3存储桶中的配置错误,错误的actor能够注入代码,从而使用户的浏览器加载了与该网址相关联的无关网址 麦卡特 攻击组” the company shared.

WHO’s behind the attack?

特威里奥 是一家云通信平台即服务(CPaaS)公司,该公司提供开发人员可用来在其Web和移动应用程序中添加消息传递,语音和视频的Web服务API。

“TaskRouter JS SDK是一个库,可让客户轻松地与Twilio TaskRouter进行交互,该库提供了一个基于属性的路由引擎,可将任务路由到代理或流程,” 特威里奥 explained.

配置错误的AWS S3存储桶(用于提供来自twiliocdn.com域的公共内容)托管其他SDK的副本,但仅TaskRouter SDK被修改。

错误配置使Internet上的任何人都可以读写S3存储桶,并且攻击者抓住了机会。

“我们认为这不是针对Twilio或我们的任何客户的攻击,” the company opined.

“我们对攻击者添加的javascript的调查使我们相信,由于S3存储桶的配置错误,此攻击是机会性的。我们认为该攻击旨在为移动设备上的用户提供恶意广告。”

RiskIQ的威胁研究员Jordan Herman详细介绍了以前的威胁活动, 使用了相同的恶意流量重定向器告诉Help Net Security,由于查找错误配置的Amazon S3存储桶的容易程度以及他们授予攻击者的访问级别,他们看到这种攻击的发生速度惊人。

云安全公司Accurics的代码的联合创始人兼CTO Om Moolchandani指出,水坑攻击与Twilio事件之间有许多相似之处。

“接管云托管的SDK,攻击者可以‘cloud waterhole’通过直接降落到受害者的行动空间进入受害者的环境,” he said.

结果

由于此事件,Twillio检查了其所有AWS S3存储桶的权限,发现其他配置错误的存储桶,但它们没有存储生产或客户数据,也没有存储’被篡改了。

“在事件审查过程中,我们确定了一些系统的改进措施,可以防止将来发生类似的问题。具体来说,我们的团队将致力于限制对S3存储桶的直接访问,并仅通过已知的CDN传递内容,改善对S3存储桶策略更改的监控,以快速检测不安全的访问策略,并确定为我们提供完整性的最佳方法进行检查,以便客户可以验证他们是否在使用我们的SDK的已知良好版本,” the company shared.

他们说’很难评估对个人用户攻击的影响,因为“这些攻击中使用的链接已被弃用和轮换,因为脚本本身并未在所有平台上执行。”

该公司敦促那些在2020年7月19日下午1点12分至7月20日晚上10:30 PDT(UTC-07:00)之间下载TaskRouter JS SDK副本的人重新下载,检查其完整性并更换它。

“如果您的应用程序从CDN动态加载了TaskRouter JS SDK v1.20,则该软件已经更新,您无需执行任何操作,” they pointed out.

分享这个