2 jul. 2018

TicketMaster e Inbenta, vulnerabilidades e infectados

ACTO I: En el que TicketMaster alerta del ataque

El pasado día 28 de junio, TicketMaster alertaba a sus usuarios respecto a una fuga de información. Según explica en la página web que acompaña al aviso, el día 23 descubrieron que un producto del proveedor Inbenta (una empresa que provee chatbots y que, por cierto, es de origen español) había sido comprometido. Al estar integrado en gran medida en el sitio web de TicketMaster, la información personal y de pago había podido ser accedida por un actor malicioso desconocido.

La primera reacción de TicketMaster ante esto fue desactivar todos los productos de Inbenta en todas las plataformas.

ACTO II: En el que Inbenta responde a las acusaciones

Inbenta, por su parte, ha dado algo más de detalle sobre el ataque en su propia nota de prensa. Un archivo JavaScript, creado específicamente para cubrir las necesidades de TicketMaster, ha sido el responsable del robo de credenciales.

Acusan directamente a TicketMaster de haber integrado el archivo en su plataforma sin su aprobación, ya que de haberlo sabido habrían avisado del peligro que conlleva. Sin embargo, solo una frase después reconocen que el atacante fue capaz de encontrar y modificar este archivo en su infraestructura.

Según las declaraciones del CEO de Inbenta, Jordi Torras, a ZDNet a través de email, el atacante pudo acceder a los servidores frontend de Inbenta a través de la explotación de varias vulnerabilidades, y abusar de la característica de subida de archivo a la plataforma para sustituir el archivo por uno con el código malicioso.

ACTO III: En el que descubrimos que Monzo ya habían avisado

Monzo es un banco que opera a través de Internet bastante popular en Reino Unido. A partir del día 6 de abril, empezó a ver como las quejas desde estos países por fraude en tarjetas de crédito se multiplicaban hasta llegar a tener que reemplazar 6000 tarjetas de forma preventiva.

Cruzando los datos de los clientes afectados por fraude con sus transacciones, se dieron cuenta que el 70% de últimos fraudes afectaban a clientes que usaban TicketMaster. Lo raro es que estos representaban solo un 0,8% de su base de clientes, un porcentaje demasiado bajo para tanto fraude. Algo ocurría. El 12 de abril, miembros del equipo de seguridad de TicketMaster visitaron las oficinas de Monzo para estudiar el caso y afirmaron en que se iba a investigar internamente.

Epílogo: Tirando del hilo

Después de las reveladoras palabras del CEO de Inbenta para ZDNet, en Hispasec nos preguntamos si era posible localizar ese JavaScript y analizar su contenido para poder localizar el actor malicioso. Primero, necesitábamos saber datos concretos de dónde alojaba Inbenta los archivos referenciados por TicketMaster. Un paseo por Wayback Machine nos da alguna pista: Inbenta usa una serie de URLs que apuntan a servidores Amazon desde donde sirve archivos estáticos exclusivamente para cada una de las divisiones locales de TicketMaster. Este primer archivo: http://ticketmasteruk.inbenta.com/avatar/jsonp/inbenta.js

Nos lleva a un segundo: http://ticketmasteruk.inbenta.com/avatar/assets/js/inbenta.js?1528204241

Sabiendo al menos el nombre de archivo y URL, podemos empezar a buscar muestras en servicios como VirusTotal o HybridAnalysis.
https://www.hybrid-analysis.com/search?query=inbenta

Este archivo también fue subido a VirusTotal en la misma fecha, detectado como InfoStealer:
https://www.virustotal.com/#/file/eb49f05d0738b851ec25ede8592c021c3421588154c2e90af542f69ee3ed0530/detection

Echando un vistazo a esta versión de 'inbenta.js', encontramos al final una gran cantidad de código ofuscado:
Sospechoso cuanto menos, ¿no? La función 'send' y las continuas referencias al array '_0x1aec' nos hacen sospechar que contiene la información de contacto. Lo decodificamos y....
El punto de contacto es el dominio "webfotce[.]me", que resuelve a la IP 85.93.5.188, situada en Emiratos Árabes Unidos. Esta IP está relacionada no sólo con este caso, sino también con gran cantidad de malware según VirusTotal.

Buscando información sobre el dominio, vemos que el usuario @AskewDread a través de Twitter ya avisaba de este comportamiento, siendo, según TicketMaster Nueva Zelanda, solucionado el 11 de mayo.

Ataques como estos son ejemplos claros del alcance que pueden llegar a tener los fallos de seguridad en proveedores u otras dependencias de código. Aunque Inbenta ha sido la empresa atacada, es TicketMaster el más afectado tanto en imagen como económicamente. Incluso los efectos colaterales han llegado a Monzo, un tercero sin relación directa de negocio con ninguno de ellos.

Es importante recordar que la seguridad de nuestra infraestructura es tan débil como el componente más inseguro de la misma y que, por tanto, todos necesitan ser revisados para garantizar un producto seguro a nuestros usuarios y evitar que un problema de terceros nos afecte directamente.

Fuente: Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!