الفئة:
ذكاء نقاط الضعف
فئة نقاط الضعف الأمنية:
الكشف عن المعلومات
المنطقة:
عالمي
الصناعة:
متعدد
ملخص تنفيذي
تهديدتأثيرتخفيف
- تم العثور على أحد التطبيقات مؤخرًا ضعيفًا بسبب تسريب Slack webhooks في أصوله.
- تعد webhooks الواردة طريقة بسيطة لنشر الرسائل من تطبيقات الطرف الثالث إلى Slack.
- يمكن الاستفادة من خطافات الويب المكشوفة للوصول إلى البيانات الحساسة وأيضًا نشر رسائل التصيد الاحتيالي.
- تسمح خطافات الويب المسربة من Slack للجهات الفاعلة في مجال التهديد بإرسال رسائل غير مصرح بها وربما ضارة على Slack.
- قم بإبطال كتب الويب المكشوفة.
- قم بتقييد روابط الويب من قنوات Slack.
- قم بتطبيق سياسة أقل الامتيازات على Slack webhooks.
- المراقبة المستمرة لتطبيقات Slack OAuth.
منصة مسح التطبيقات الرائدة في CloudSek
كن فيجيل اكتشف خطافات Slack webhooks المسربة في أحد التطبيقات التي تتم مراقبتها. webhook عبارة عن واجهة برمجة تطبيقات خفيفة الوزن تستخدم للاتصال أحادي الاتجاه بين التطبيقات المختلفة. تسمح خطافات الويب الواردة من Slack لمستخدميها بنشر رسائل من تطبيقات خارجية في قنوات Slack المحددة.
يؤدي إنشاء خطاف ويب وارد على Slack إلى إنشاء عنوان URL فريد يتم من خلاله إرسال حمولة JSON برسالة نصية إلى قناة Slack المقصودة. يحتوي عنوان URL الذي تم إنشاؤه على معلومات حساسة يمكن أن تؤدي في حالة تسريبها إلى اختراق قناة Slack والمعلومات التي تتم مشاركتها من خلالها.
[معرف التسمية التوضيحية = «المرفق _19665" aligncenter «العرض = «1247"]

لقطة شاشة للوحة تحكم BeVigil تعرض خطافات الويب المسربة من Slack [/caption]
التحليل الفني
- قام فريق أبحاث تهديدات العملاء في CloudSek بتحليل النتائج من كن فيجيل واكتشفت العديد من خوادم Slack على الويب في التطبيق المذكور.
- تعد webhooks الواردة طريقة بسيطة لنشر الرسائل من تطبيقات الطرف الثالث إلى Slack. يمكن للجهات الفاعلة في مجال التهديد الاستفادة من هذه الهجمات لشن هجمات التصيد الاحتيالي على مستخدمي تطبيق Slack.
لماذا يتم تجاهل سلاك ويب هوكس؟
غالبًا ما تُعتبر Slack webhooks عمليات تكامل منخفضة المخاطر للأسباب التالية:
- تم تصميم Webhooks لقناة Slack المستهدفة، مما يقلل من نطاق الاختراق.
- عناوين URL التي تم إنشاؤها فريدة وسرية.
- تقدم Webhooks البيانات فقط، وبالتالي لا يمكن استخدامها لاستخراج المعلومات الحساسة بمفردها.
- يبحث Slack بنشاط عن عناوين URL المسربة ويبطلها.
كيف تستغل الجهات الفاعلة في مجال التهديد سلاك ويب هوكس؟
لا ينبغي تجاهل Slack webhooks أثناء تأمين نقاط نهاية التطبيق حيث يمكن استغلالها بالطرق التالية:
- يمكن العثور على عدد كبير من عناوين URL لـ Slack Webhook عبر المصادر المفتوحة على الإنترنت وحدها، حيث تحتوي معظمها على قيم webhook حساسة وغير خاضعة للرقابة.
- تسمح خطافات الويب الواردة المكشوفة للجهات الفاعلة في مجال التهديد بنشر رسائل غير مصرح بها وربما ضارة في قنوات Slack.
- طريقة بسيطة طلب POST يمكن استخدامها من قبل الجهات الفاعلة في مجال التهديد لإرسال رسائل ضارة باستخدام الأمر curl الموضح أدناه.
curl -X POST -H «نوع المحتوى: التطبيق/json» --data '{«text»: «مرحبًا بالعالم."} https://webhook
تم استخدام أمر Curl لإرسال رسائل ضارة
- من الممكن أيضًا إضافة ميزة تجاوز القناة، والتي ستزيل قيود عنوان URL على القناة المستهدفة. يمكن تحقيق ذلك عن طريق إضافة مفتاح «القناة» إلى حمولة JSON. علاوة على ذلك، إذا تم اختراق خطاف الويب الذي أنشأه المسؤول، فيمكن استخدامه للوصول إلى جميع القنوات الإدارية.
- قد يتم خداع مستخدمي Slack لتثبيت تطبيقات ضارة مصممة من قبل الجهات الفاعلة في مجال التهديد، والتي يمكن أن تخترق قنوات Slack للحصول على معلومات حساسة، مما يؤدي إلى حل وسط الملفات السرية والرسائل المرسلة عبر المنصة.
- يمكن تصعيد التهديد بشكل أكبر عن طريق تنسيق الرسالة باستخدام الصور وعمليات تخفيض السعر والارتباطات التشعبية لجعلها تبدو أكثر شرعية. يساعد هذا في تحقيق نجاح التصيد الاحتيالي بنسبة 100٪ لكل رسالة حيث يمكن قراءة كل رسالة من قبل العديد من مستخدمي Slack.
معلومات من نقطة النهاية الضعيفة
- كشفت التحقيقات الإضافية حول نقطة نهاية Slack webhook الخاصة بالتطبيق أنه إذا تم إرسال طلب إلى نقطة النهاية المعرضة للخطر، فإن «حمولة غير صالحة» تم إنشاء خطأ يشير إلى أن webhook لا يزال نشطًا.
[معرف التسمية التوضيحية = «المرفق _19666" aligncenter «العرض = «699"]

تمت مصادفة رسالة الخطأ «invalid_payload» في نقطة النهاية المعرضة للخطر [/caption]
- تم إيقاف المزيد من الاختبارات على نقطة النهاية هذه لأنها قد تؤثر على قنوات Slack الحالية التي يستخدمها webhook.
معلومات من منتديات الجرائم الإلكترونية
- أثناء البحث في العديد من منتديات/أسواق الجرائم الإلكترونية المظلمة والسطحية على الويب، اكتشف فريق أبحاث التهديدات في CloudSek مجموعة من الجهات الفاعلة في مجال التهديد تناقش طرقًا متعددة لاستغلال مثل هذه الرسائل الإلكترونية من Slack.
[معرف التسمية التوضيحية = «المرفق _19667" aligncenter «العرض = «1584"]

لقطة شاشة للنصوص التي نشرها أحد ممثلي التهديد لرفع خطأ Slack webhook [/caption]
- شوهدت جهات تهديد متعددة تنشر نصوصًا يمكن أن تؤدي إلى مزيد من استغلال هذه الثغرة الأمنية من خلال مراقبة السجلات وبيانات الاعتماد.
[معرف التسمية التوضيحية = «المرفق _19668" aligncenter «العرض ="1220"]

برنامج نصي مشترك من قبل ممثل التهديد على GitHub لاستغلال webhooks باستخدام بيانات الاعتماد [/caption]
حادثة مماثلة
- في 6 يونيو 2021، تم اختراق 780 غيغابايت من البيانات الحساسة بما في ذلك شفرة المصدر لمجموعة متنوعة من الأدوات والخدمات من Electronic Arts (EA)، وهي شركة ألعاب فيديو أمريكية.
- في هذا الهجوم، اشترى المهاجمون ملفات تعريف الارتباط المسروقة لشركة EA في منتدى سري، والتي تم استخدامها للتسلل إلى قناة Slack الخاصة بالشركة عبر شبكات Slack الإلكترونية الضعيفة.
- ثم قام المهاجمون الذين تظاهروا بأنهم موظفون في EA على Slack بخداع مسؤول تكنولوجيا المعلومات لتزويدهم بإمكانية الوصول إلى الشبكة، وبعد ذلك تم استخدام متجهين آخرين للهجوم لاستغلال الثغرات التقنية الحالية.
التأثير والتخفيف
التأثيرالتخفيف
- تسمح خطافات الويب المسربة من Slack للجهات الفاعلة في مجال التهديد بإرسال رسائل غير مصرح بها وربما ضارة على Slack.
- يمكن للجهات الفاعلة في مجال التهديد شن هجمات متسلسلة وخداع المستخدمين لتنزيل تطبيقات ضارة يمكن استخدامها للوصول إلى الملفات والرسائل السرية على قنوات Slack.
- قد تسمح روابط الويب التي تم تكوينها بشكل خاطئ بإرسال الرسائل على أي قناة في Slack، مما يفتح إمكانية هجمات التصيد الاحتيالي.
- قم بإلغاء جميع رسائل الويب الضعيفة المسربة.
- قم بتعديل رمز التطبيق لإزالة استخدام أي من أدوات الويب هذه.
- قم بتطبيق سياسة أقل الامتيازات على Slack webhooks.
- المراقبة المستمرة لتطبيقات Slack OAuth.
- لا يحتوي Slack على آلية داخلية لمكافحة التصيد الاحتيالي، لذلك يجب على المستخدمين توخي الحذر من أي مستخدمين خارجيين أو فتح روابط الويب في مساحة العمل الخاصة بهم.
المراجع
الملحق
[معرف التسمية التوضيحية = «المرفق _19669" aligncenter «العرض ="933"]

دليل واجهة برمجة تطبيقات سلاك لإعداد سلاك ويب هوكس [/caption]