O recente ataque à cadeia de suprimentos em larga escala, realizado por meio de múltiplos CDNs, nomeadamente Polyfill.io, BootCDN, Bootcss e Staticfile, que afetou entre 100.000 a dezenas de milhões de sites, foi rastreado até um operador comum, segundo pesquisadores.
Os pesquisadores descobriram um repositório público no GitHub onde os supostos operadores do Polyfill.io haviam exposto acidentalmente suas chaves secretas do Cloudflare.
Utilizando essas API keys vazadas, que ainda estavam ativas, os pesquisadores conseguiram estabelecer que um operador comum estava por trás de todos os quatro domínios e do ataque à cadeia de suprimentos mais amplo.
Pesquisadores de segurança e entusiastas de open source intel (OSINT) descobriram um repositório no GitHub associado ao domínio polyfill.io envolvido em um ataque à cadeia de suprimentos em larga escala, que agora se acredita ter impactado dezenas de milhões de sites.
Os segredos vazados no repositório permitiram aos pesquisadores atribuir o ataque à cadeia de suprimentos envolvendo todos os 4 serviços de CDN, a saber, Polyfill.io, BootCDN, Bootcss e Staticfile, a uma única entidade.
A descoberta foi feita graças ao esforço colaborativo entre o pesquisador Ze-Zheng Wu, um usuário pseudônimo mdmck10 e o grupo de pesquisa de segurança, MalwareHunterTeam.
Ze-Zheng Wu, um desenvolvedor e candidato a PhD baseado em Hangzhou, China, descobriu um repositório no GitHub intitulado "data.polyfill.com" que parecia conter o código-fonte do back-end associado ao site.
O pesquisador observou que o proprietário do repositório havia carregado acidentalmente um arquivo .env no repositório público:
Arquivos .env são utilizados por desenvolvedores e sysadmins para armazenar segredos como API keys e tokens, variáveis de ambiente e configurações.
Como tal, esses arquivos devem ser protegidos com permissões restritivas e fortemente guardados do público.
O arquivo exposto contém um token de API do Cloudflare, Cloudflare Zone ID (do domínio Polyfill.io) e Algolia API keys, entre outros valores.
A API key do Cloudflare permitiu que os pesquisadores, em particular mdmck10, consultassem e obtivessem uma lista de zonas ativas associadas à conta Cloudflare específica.
Uma "zona" Cloudflare é uma maneira de os administradores de sites organizarem e gerenciarem domínios em sua conta Cloudflare, e configurações distintas para cada domínio.
Falando de forma simplificada, cada "zona" Cloudflare compreende um nome de domínio, suas configurações de DNS, datas de criação ou modificação da zona e metadados relacionados ao seu proprietário.
Entre todos os domínios (ou zonas) retornados para a conta Cloudflare, um era para cdn.polyfill.io.
Note como o "id" da zona também corresponde ao Zone ID listado no arquivo .env encontrado no repositório do GitHub acima:
O arquivo JSON de 430 linhas, compartilhado por mdmck10, continha adicionalmente entradas para domínios, staticfile.net, bootcdn.net, bootcss.com, indicando que esses eram gerenciados sob a mesma conta de usuário do Cloudflare, operada por uma entidade comum.
Embora a Cloudflare nunca tenha autorizado o Polyfill.io a usar seu logo e nome e nunca tenha endossado o serviço, na quarta-feira, os registros de DNS para Polyfill.io foram misteriosamente trocados para os da Cloudflare, indicando que os serviços da Cloudflare estavam pelo menos parcialmente em uso pelos proprietários do domínio.
Nós contatamos a Cloudflare na época para entender se estava envolvida na mudança desses registros de DNS, ou em ajudar a mitigar o ataque, mas não recebemos resposta.
O MalwareHunterTeam, que tem monitorado de perto a situação, chamou atenção para o fato de que o aviso do Google aos seus anunciantes sobre o ataque à cadeia de suprimentos não se limitava às páginas de destino de anúncios incorporando polyfill.io, mas também mais três serviços, Bootcss, BootCDN e Staticfile.
"Mas de alguma forma todos ignoraram isso. Alguns dos primeiros artigos sobre a situação mencionaram esses domínios de uma forma ou de outra...e basicamente foi isso", escreve o MalwareHunterTeam em um thread no X (anteriormente Twitter).
O grupo de pesquisa de segurança alertou que o impacto combinado resultante desses outros três serviços provavelmente terá um impacto muito mais amplo do que inicialmente previsto.
Recentemente, o co-fundador e CEO da Cloudflare, Matthew Prince, afirmou que "dezenas de milhões de sites (4% da web)" usavam Polyfill.io, classificando o incidente como "extremamente preocupante".
Nullify, um investigador forense e pesquisador de segurança baseado na Austrália, agora fez uma observação ainda mais preocupante.
Referências à função 'check_tiaozhuan', que representa o código malicioso injetado, existem em "fóruns chineses datados de junho de 2023".
Desde então, "uma versão muito primitiva do mesmo código injetado" estava em circulação via BootCSS, segundo o pesquisador.
A função 'check_tiaozhuan', segundo os desenvolvedores, examinaria se um visitante estava usando um dispositivo móvel e "redirecionaria o navegador do usuário para outra página":
Os pesquisadores da Sansec, que foram os primeiros a soar o alarme sobre o ataque ao Polyfill.io, atualizaram sua lista de domínios associados ao ataque à cadeia de suprimentos para incluir:
O impacto mais amplo do ataque provavelmente se desdobrará nas próximas semanas e seu escopo ainda está para ser plenamente compreendido.
Logo após o Polyfill.io ser desativado pela Namecheap, outro serviço, polyfill.com, foi lançado por seus operadores.
A partir desta manhã, polyfill.com também não está mais responsivo após ter sido igualmente desativado.
O analista de threat intel, Dominic Alvieri, no entanto, adverte que os operadores do Polyfill.io poderiam ter potencialmente acumulado múltiplos domínios antecipadamente com diferentes registradores, citando "polyfill.cloud" como um exemplo possível.
A implantação ativa desses domínios poderia rapidamente transformar este incidente em uma situação de "jogo de bate e volta", caso alguém utilize esses serviços.
As taxas de detecção para domínios associados ao ataque permanecem baixas entre os principais motores de antivírus e esforços forenses humanos podem ser necessários para auditar seus ambientes:
Handlers de resposta a incidentes e equipes de defesa do SOC podem se beneficiar ao pesquisar em seus logs do SIEM por eventos de rede que representem conexões aos domínios do CDN associados ao incidente:
Se você ainda não fez, considere substituir o uso existente de qualquer um desses serviços por alternativas seguras configuradas pela Cloudflare e Fastly.
Polykill.io, da firma de cybersecurity Leak Signal, é outro serviço útil que permite identificar sites que utilizam Polyfill.io e fazer a troca.
Com ambos os domínios Polyfill .io e .com agora inativos, os endereços de e-mail dos administradores não estão mais operacionais.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...