🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
خرق

تستغل Webhooks التي تم تجاهلها ثغرة نقطة النهاية في قنوات Slack

اكتشفت BeVigil خوادم Slack الإلكترونية المسربة في أحد التطبيقات التي تتم مراقبتها. يمكن الاستفادة من خطافات الويب المكشوفة للوصول إلى البيانات الحساسة وأيضًا نشر رسائل التصيد الاحتيالي.
Updated on
August 19, 2025
Published on
June 22, 2022
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: الكشف عن المعلوماتالمنطقة: عالميالصناعة: متعدد

ملخص تنفيذي

تهديدتأثيرتخفيف
  • تم العثور على أحد التطبيقات مؤخرًا ضعيفًا بسبب تسريب Slack webhooks في أصوله.
  • تعد webhooks الواردة طريقة بسيطة لنشر الرسائل من تطبيقات الطرف الثالث إلى Slack.
  • يمكن الاستفادة من خطافات الويب المكشوفة للوصول إلى البيانات الحساسة وأيضًا نشر رسائل التصيد الاحتيالي.
  • تسمح خطافات الويب المسربة من Slack للجهات الفاعلة في مجال التهديد بإرسال رسائل غير مصرح بها وربما ضارة على Slack.
  • قم بإبطال كتب الويب المكشوفة.
  • قم بتقييد روابط الويب من قنوات Slack.
  • قم بتطبيق سياسة أقل الامتيازات على Slack webhooks.
  • المراقبة المستمرة لتطبيقات Slack OAuth.
منصة مسح التطبيقات الرائدة في CloudSek كن فيجيل اكتشف خطافات Slack webhooks المسربة في أحد التطبيقات التي تتم مراقبتها. webhook عبارة عن واجهة برمجة تطبيقات خفيفة الوزن تستخدم للاتصال أحادي الاتجاه بين التطبيقات المختلفة. تسمح خطافات الويب الواردة من Slack لمستخدميها بنشر رسائل من تطبيقات خارجية في قنوات Slack المحددة. يؤدي إنشاء خطاف ويب وارد على Slack إلى إنشاء عنوان URL فريد يتم من خلاله إرسال حمولة JSON برسالة نصية إلى قناة Slack المقصودة. يحتوي عنوان URL الذي تم إنشاؤه على معلومات حساسة يمكن أن تؤدي في حالة تسريبها إلى اختراق قناة Slack والمعلومات التي تتم مشاركتها من خلالها. [معرف التسمية التوضيحية = «المرفق _19665" aligncenter «العرض = «1247"]Screenshot of BeVigil dashboard showing the leaked Slack webhooks لقطة شاشة للوحة تحكم BeVigil تعرض خطافات الويب المسربة من Slack [/caption]

التحليل الفني

  • قام فريق أبحاث تهديدات العملاء في CloudSek بتحليل النتائج من كن فيجيل واكتشفت العديد من خوادم Slack على الويب في التطبيق المذكور.
  • تعد webhooks الواردة طريقة بسيطة لنشر الرسائل من تطبيقات الطرف الثالث إلى Slack. يمكن للجهات الفاعلة في مجال التهديد الاستفادة من هذه الهجمات لشن هجمات التصيد الاحتيالي على مستخدمي تطبيق Slack.

لماذا يتم تجاهل سلاك ويب هوكس؟

غالبًا ما تُعتبر Slack webhooks عمليات تكامل منخفضة المخاطر للأسباب التالية:
  • تم تصميم Webhooks لقناة Slack المستهدفة، مما يقلل من نطاق الاختراق.
  • عناوين URL التي تم إنشاؤها فريدة وسرية.
  • تقدم Webhooks البيانات فقط، وبالتالي لا يمكن استخدامها لاستخراج المعلومات الحساسة بمفردها.
  • يبحث Slack بنشاط عن عناوين URL المسربة ويبطلها.

كيف تستغل الجهات الفاعلة في مجال التهديد سلاك ويب هوكس؟

لا ينبغي تجاهل Slack webhooks أثناء تأمين نقاط نهاية التطبيق حيث يمكن استغلالها بالطرق التالية:
  • يمكن العثور على عدد كبير من عناوين URL لـ Slack Webhook عبر المصادر المفتوحة على الإنترنت وحدها، حيث تحتوي معظمها على قيم webhook حساسة وغير خاضعة للرقابة.
  • تسمح خطافات الويب الواردة المكشوفة للجهات الفاعلة في مجال التهديد بنشر رسائل غير مصرح بها وربما ضارة في قنوات Slack.
  • طريقة بسيطة طلب POST يمكن استخدامها من قبل الجهات الفاعلة في مجال التهديد لإرسال رسائل ضارة باستخدام الأمر curl الموضح أدناه.
curl -X POST -H «نوع المحتوى: التطبيق/json» --data '{«text»: «مرحبًا بالعالم."} https://webhookتم استخدام أمر Curl لإرسال رسائل ضارة
  • من الممكن أيضًا إضافة ميزة تجاوز القناة، والتي ستزيل قيود عنوان URL على القناة المستهدفة. يمكن تحقيق ذلك عن طريق إضافة مفتاح «القناة» إلى حمولة JSON. علاوة على ذلك، إذا تم اختراق خطاف الويب الذي أنشأه المسؤول، فيمكن استخدامه للوصول إلى جميع القنوات الإدارية.
  • قد يتم خداع مستخدمي Slack لتثبيت تطبيقات ضارة مصممة من قبل الجهات الفاعلة في مجال التهديد، والتي يمكن أن تخترق قنوات Slack للحصول على معلومات حساسة، مما يؤدي إلى حل وسط الملفات السرية والرسائل المرسلة عبر المنصة.
  • يمكن تصعيد التهديد بشكل أكبر عن طريق تنسيق الرسالة باستخدام الصور وعمليات تخفيض السعر والارتباطات التشعبية لجعلها تبدو أكثر شرعية. يساعد هذا في تحقيق نجاح التصيد الاحتيالي بنسبة 100٪ لكل رسالة حيث يمكن قراءة كل رسالة من قبل العديد من مستخدمي Slack.

معلومات من نقطة النهاية الضعيفة

  • كشفت التحقيقات الإضافية حول نقطة نهاية Slack webhook الخاصة بالتطبيق أنه إذا تم إرسال طلب إلى نقطة النهاية المعرضة للخطر، فإن «حمولة غير صالحة» تم إنشاء خطأ يشير إلى أن webhook لا يزال نشطًا.
[معرف التسمية التوضيحية = «المرفق _19666" aligncenter «العرض = «699"]“Invalid_payload” error message encountered on the vulnerable endpoint تمت مصادفة رسالة الخطأ «invalid_payload» في نقطة النهاية المعرضة للخطر [/caption]
  • تم إيقاف المزيد من الاختبارات على نقطة النهاية هذه لأنها قد تؤثر على قنوات Slack الحالية التي يستخدمها webhook.

معلومات من منتديات الجرائم الإلكترونية

  • أثناء البحث في العديد من منتديات/أسواق الجرائم الإلكترونية المظلمة والسطحية على الويب، اكتشف فريق أبحاث التهديدات في CloudSek مجموعة من الجهات الفاعلة في مجال التهديد تناقش طرقًا متعددة لاستغلال مثل هذه الرسائل الإلكترونية من Slack.
[معرف التسمية التوضيحية = «المرفق _19667" aligncenter «العرض = «1584"]Screenshot of scripts posted by a threat actor to elevate Slack webhook bug لقطة شاشة للنصوص التي نشرها أحد ممثلي التهديد لرفع خطأ Slack webhook [/caption]
  • شوهدت جهات تهديد متعددة تنشر نصوصًا يمكن أن تؤدي إلى مزيد من استغلال هذه الثغرة الأمنية من خلال مراقبة السجلات وبيانات الاعتماد.
[معرف التسمية التوضيحية = «المرفق _19668" aligncenter «العرض ="1220"]Script shared by a threat actor on GitHub to exploit webhooks by using credentials برنامج نصي مشترك من قبل ممثل التهديد على GitHub لاستغلال webhooks باستخدام بيانات الاعتماد [/caption]

حادثة مماثلة

  • في 6 يونيو 2021، تم اختراق 780 غيغابايت من البيانات الحساسة بما في ذلك شفرة المصدر لمجموعة متنوعة من الأدوات والخدمات من Electronic Arts (EA)، وهي شركة ألعاب فيديو أمريكية.
  • في هذا الهجوم، اشترى المهاجمون ملفات تعريف الارتباط المسروقة لشركة EA في منتدى سري، والتي تم استخدامها للتسلل إلى قناة Slack الخاصة بالشركة عبر شبكات Slack الإلكترونية الضعيفة.
  • ثم قام المهاجمون الذين تظاهروا بأنهم موظفون في EA على Slack بخداع مسؤول تكنولوجيا المعلومات لتزويدهم بإمكانية الوصول إلى الشبكة، وبعد ذلك تم استخدام متجهين آخرين للهجوم لاستغلال الثغرات التقنية الحالية.

التأثير والتخفيف

التأثيرالتخفيف
  • تسمح خطافات الويب المسربة من Slack للجهات الفاعلة في مجال التهديد بإرسال رسائل غير مصرح بها وربما ضارة على Slack.
  • يمكن للجهات الفاعلة في مجال التهديد شن هجمات متسلسلة وخداع المستخدمين لتنزيل تطبيقات ضارة يمكن استخدامها للوصول إلى الملفات والرسائل السرية على قنوات Slack.
  • قد تسمح روابط الويب التي تم تكوينها بشكل خاطئ بإرسال الرسائل على أي قناة في Slack، مما يفتح إمكانية هجمات التصيد الاحتيالي.
  • قم بإلغاء جميع رسائل الويب الضعيفة المسربة.
  • قم بتعديل رمز التطبيق لإزالة استخدام أي من أدوات الويب هذه.
  • قم بتطبيق سياسة أقل الامتيازات على Slack webhooks.
  • المراقبة المستمرة لتطبيقات Slack OAuth.
  • لا يحتوي Slack على آلية داخلية لمكافحة التصيد الاحتيالي، لذلك يجب على المستخدمين توخي الحذر من أي مستخدمين خارجيين أو فتح روابط الويب في مساحة العمل الخاصة بهم.

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق _19669" aligncenter «العرض ="933"]Slack API guide to setting up Slack webhooks دليل واجهة برمجة تطبيقات سلاك لإعداد سلاك ويب هوكس [/caption]
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more