Categoria: Inteligência de vulnerabilidadeClasse de vulnerabilidade: Divulgação de informaçõesRegião: GlobalIndústria: Múltiplo

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Recentemente, um aplicativo foi considerado vulnerável devido ao vazamento de webhooks do Slack em seus ativos.
• Os webhooks recebidos são uma forma simples de publicar mensagens de aplicativos de terceiros no Slack.

• Os webhooks expostos podem ser aproveitados para acessar dados confidenciais e também propagar mensagens de phishing.
• Os webhooks vazados do Slack permitem que agentes de ameaças enviem mensagens não autorizadas e potencialmente maliciosas no Slack.

• Invalide os webhooks expostos.
• Restrinja os webhooks dos canais do Slack.
• Aplique a política de privilégios mínimos nos webhooks do Slack.
• Monitoramento contínuo dos aplicativos OAuth do Slack.

A principal plataforma de digitalização de aplicativos da CloudSEK Seja Vigil detectou vazamentos de webhooks do Slack em um dos aplicativos que estão sendo monitorados. Um webhook é uma API leve usada para comunicação unidirecional entre diferentes aplicativos. Os webhooks recebidos do Slack permitem que seus usuários publiquem mensagens de aplicativos externos em canais selecionados do Slack. A criação de um webhook de entrada no Slack gera uma URL exclusiva por meio da qual uma carga JSON com uma mensagem de texto é enviada para o canal do Slack pretendido. O URL gerado contém informações confidenciais que, se vazadas, podem comprometer o canal Slack e as informações compartilhadas por meio dele. [caption id="attachment_19665" align="aligncenter” width="1247"] Captura de tela do painel BeVigil mostrando os webhooks vazados do Slack [/caption]

Análise técnica

• A equipe de pesquisa de ameaças ao cliente da CloudSEK analisou as descobertas de Seja Vigil e descobriu vários webhooks do Slack no referido aplicativo.
• Os webhooks recebidos são uma forma simples de publicar mensagens de aplicativos de terceiros no Slack. Os agentes de ameaças podem aproveitá-los para lançar ataques de phishing contra os usuários do aplicativo Slack.

Por que os webhooks do Slack são negligenciados?

Os webhooks do Slack geralmente são considerados integrações de baixo risco pelos seguintes motivos:

• Os webhooks são feitos para um canal do Slack direcionado, reduzindo assim o escopo da violação.
• Os URLs gerados são exclusivos e confidenciais.
• Os webhooks fornecem apenas dados e, portanto, não podem ser usados para extrair informações confidenciais sozinhos.
• O Slack busca ativamente e revoga URLs vazados.

Como os agentes de ameaças exploram os webhooks do Slack?

Os webhooks do Slack não devem ser negligenciados ao proteger os endpoints do aplicativo, pois eles podem ser explorados das seguintes maneiras:

• Uma infinidade de URLs de webhook do Slack pode ser encontrada somente em fontes abertas na Internet, com a maioria deles contendo valores de webhook confidenciais e sem censura.
• Os webhooks recebidos expostos permitem que os agentes de ameaças publiquem mensagens não autorizadas e potencialmente maliciosas nos canais do Slack.
• Um simples Solicitação POST pode ser usado por agentes de ameaças para enviar mensagens maliciosas usando o comando curl fornecido abaixo.

curl -X POST -H “Tipo de conteúdo: application/json” --data '{"text”: “Olá, mundo."} https://webhookComando Curl usado para enviar mensagens maliciosas

• Também é possível adicionar uma substituição de canal, o que removerá a restrição do URL ao canal de destino. Isso pode ser feito adicionando a chave “channel” à carga JSON. Além disso, se um webhook criado por um administrador for violado, ele poderá ser usado para acessar todos os canais administrativos.
• Os usuários do Slack podem ser induzidos a instalar aplicativos maliciosos desenvolvidos por agentes de ameaças, que podem violar os canais do Slack para obter informações confidenciais, comprometendo arquivos e mensagens confidenciais enviados pela plataforma.
• A ameaça pode aumentar ainda mais com a formatação da mensagem usando imagens, marcações e hiperlinks para torná-la mais legítima. Isso ajuda a alcançar 100% de sucesso de phishing por mensagem, já que cada mensagem pode ser lida por vários usuários do Slack.

Informações do endpoint vulnerável

• Uma investigação mais aprofundada do endpoint de webhook Slack do aplicativo revelou que, se uma solicitação for enviada para o endpoint vulnerável, um “carga_útil inválida” um erro é gerado, indicando que o webhook ainda está ativo.

[caption id="attachment_19666" align="aligncenter” width="699"] Mensagem de erro “Invalid_payload” encontrada no endpoint vulnerável [/caption]

• Testes adicionais nesse endpoint foram interrompidos, pois podem afetar os canais atuais do Slack usados pelo webhook.

Informações de fóruns de crimes cibernéticos

• Durante a triagem em vários fóruns/mercados de crimes cibernéticos na web escura e superficial, a equipe de pesquisa de ameaças da CloudSEK descobriu um grupo de agentes de ameaças discutindo várias maneiras de explorar esses webhooks do Slack.

[caption id="attachment_19667" align="aligncenter” width="1584"] Captura de tela de scripts publicados por um agente de ameaças para elevar o bug do webhook do Slack [/caption]

• Vários agentes de ameaças foram vistos propagando scripts que podem levar a uma maior exploração dessa vulnerabilidade por meio do monitoramento de registros e credenciais.

[caption id="attachment_19668" align="aligncenter” width="1220"] Script compartilhado por um agente de ameaças no GitHub para explorar webhooks usando credenciais [/caption]

Incidente semelhante

• Em 6 de junho de 2021, 780 GB de dados confidenciais, incluindo o código-fonte de uma variedade de ferramentas e serviços, foram violados pela Electronic Arts (EA), uma empresa americana de videogame.
• Nesse ataque, os atacantes compraram cookies roubados para a EA em um fórum clandestino, que foram usados para se infiltrar no canal Slack da empresa por meio de webhooks vulneráveis do Slack.
• Os atacantes que se faziam passar por funcionários da EA no Slack então enganaram o administrador de TI para que lhes fornecesse acesso à rede, após o qual mais dois vetores de ataque foram usados para explorar as vulnerabilidades técnicas existentes.

Impacto e mitigação

ImpactoMitigação

• Os webhooks vazados do Slack permitem que agentes de ameaças enviem mensagens não autorizadas e potencialmente maliciosas no Slack.
• Os agentes de ameaças podem lançar ataques em cadeia e induzir os usuários a baixar aplicativos maliciosos que podem ser usados para obter acesso a arquivos e mensagens confidenciais nos canais do Slack.
• Webhooks mal configurados podem permitir o envio de mensagens em qualquer canal no Slack, abrindo assim a possibilidade de ataques de phishing.

• Revogue todos os webhooks vulneráveis que vazaram.
• Modifique o código do aplicativo para remover o uso desses webhooks.
• Aplique a política de privilégios mínimos nos webhooks do Slack.
• Monitoramento contínuo dos aplicativos OAuth do Slack.
• O Slack não tem um mecanismo antiphishing interno, então os usuários devem ter cuidado com qualquer usuário externo ou abrir webhooks em seu espaço de trabalho.

Referências

• Ataques de phishing no Slack usando webhooks | AT&T Alien Labs
• Propagação do phishing por meio de webhooks do Slack | por Amir Shaked | PerimeterX | Medium
• Enviando mensagens usando webhooks de entrada
• Hackeado via Slack: como evitar uma violação no estilo EA
• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

[caption id="attachment_19669" align="aligncenter” width="933"] Guia da API Slack para configurar webhooks do Slack [/caption]