CVE-2024-39891

Twilio Authy

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-07-23

Официальное описание

Twilio Authy contains an information disclosure vulnerability in its API that allows an unauthenticated endpoint to accept a request containing a phone number and respond with information about whether the phone number was registered with Authy.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-39891 представляет собой уязвимость типа Information Disclosure (раскрытие информации) в API сервиса Twilio Authy. Проблема заключается в том, что незащищенная конечная точка (endpoint) API позволяла неавторизованным пользователям отправлять запросы, содержащие номера телефонов. В ответ API подтверждал, зарегистрирован ли данный номер в системе Authy или нет.

Злоумышленники использовали этот недостаток для проведения атак методом перебора (enumeration), что позволило сопоставить миллионы номеров телефонов с учетными записями Authy. Это создает риски для проведения целевого фишинга, атак типа SIM-swapping и компрометации учетных записей, защищенных двухфакторной аутентификацией.

Как исправить

Поскольку уязвимость находится на стороне серверной части API Twilio, основное исправление было реализовано вендором. Однако для обеспечения безопасности конечных пользователей и инфраструктуры необходимо выполнить следующие действия:

  1. Обновите мобильные приложения Authy до последних доступных версий. Twilio выпустила критические обновления для Android и iOS, которые содержат изменения в протоколах взаимодействия с API.

Для Android (через Google Play Store):

am start -a android.intent.action.VIEW -d "market://details?id=com.authy.authy"

Для iOS: Обновите приложение через App Store до версии 26.1.0 или выше.

  1. Проверьте актуальность используемых SDK в ваших собственных проектах, если вы интегрируете Authy API. Убедитесь, что вы используете последние версии библиотек Twilio.

Временные меры

Если немедленное обновление всех клиентских устройств невозможно, или вы хотите минимизировать риски, рекомендуется принять следующие меры:

  1. Усиление бдительности (Security Awareness): Оповестите пользователей о возможной утечке факта их регистрации в сервисе. Рекомендуйте игнорировать подозрительные SMS и звонки, запрашивающие коды подтверждения.

  2. Переход на аппаратные ключи или альтернативные методы: Рассмотрите возможность перехода с SMS-кодов и Push-уведомлений Authy на аппаратные токены (например, YubiKey) или стандарт TOTP (Google Authenticator, Microsoft Authenticator), которые менее подвержены атакам через перебор номеров телефонов.

  3. Мониторинг аномальной активности: Настройте логирование и алертинг на попытки массовой регистрации или смены номеров телефонов в ваших внутренних системах, использующих Authy.

  4. Блокировка неактуальных версий: Если вы контролируете корпоративные устройства, принудительно запретите использование версий Authy ниже 25.1.0 (Android) и 26.1.0 (iOS).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей