Lesezeit
1 Minute
Kritische Lücken in Zendesk geschlossen
Sicherheitsforscher der Varonis Threat Labs haben eine SQL-Injection-Schwachstelle und eine Sicherheitslücke für den logischen Zugriff in Zendesk Explore, dem Berichts- und Analysedienst der weitverbreiteten Helpdesk-Software Zendesk, entdeckt. Es gibt derzeit keine Hinweise darauf, dass hierdurch Kunden-Konten kompromittiert wurden.
Zendesk [1] verwendet das relativ neue API-Format GraphQL in seinen Produkten, insbesondere in der Verwaltungskonsole. Bei einer genaueren Untersuchung fanden die Sicherheitsforscher von Varonis [2] eine größere Anzahl von Wrappern um spezifische Daten. In aller Regel weist dies darauf hin, dass viele verschiedene Dienste, die zudem höchstwahrscheinlich von unterschiedlichen Entwicklern oder sogar Teams erstellt wurden, zur Verarbeitung dieser Daten verwendet werden: Mehr Code bedeutet grundsätzlich mehr potenzielle Schwachstellen.
Entsprechend konnten die Experten mithilfe einer String-Darstellungsmethode die Liste der Tabellen aus der RDS-Instanz von Zendesk extrahieren und alle in der Datenbank gespeicherten Informationen exfiltrieren, darunter E-Mail-Adressen von Benutzern, Leads und Geschäften aus dem CRM, Live-Agentenkonversationen, Tickets und Help-Center-Artikel.
Unzulässige Datenabfrage durch Nutzer
Neben dieser SQL-Injection-Schwachstelle, die eine Datenexfiltration als Administrator erlaubt, fanden die Forscher auch eine Sicherheitslücke mit breiterer Wirkung. Hierfür waren vor allem mangelnde logische Prüfungen verantwortlich. So überprüfte das API beispielsweise nicht, ob der User überhaupt die Berechtigung hatte, auf die Datenbank zuzugreifen und Abfragen auszuführen. Auf diese Weise konnte ein neu erstellter Nutzer die API aufrufen, die Abfrage ändern und Daten aus einer beliebigen Tabelle im RDS des Zendesk-Zielkontos stehlen, ohne dass SQLi erforderlich war.
Zendesk hat unmittelbar nach der Meldung der Schwachstellen mit der Behebung begonnen und konnte die Sicherheitslücken in weniger als einer Arbeitswoche beseitigen. Ohne den Patch wäre es Angreifern möglich gewesen, auf Unterhaltungen, E-Mail-Adressen, Tickets, Kommentare und andere Informationen von Zendesk-Konten mit aktiviertem Explore zuzugreifen und diese für Angriffe zu nutzen.
dr
[1] https://www.zendesk.de
[2] https://www.varonis.com/blog/zendesk-sql-injection-and-access-flaws
Entsprechend konnten die Experten mithilfe einer String-Darstellungsmethode die Liste der Tabellen aus der RDS-Instanz von Zendesk extrahieren und alle in der Datenbank gespeicherten Informationen exfiltrieren, darunter E-Mail-Adressen von Benutzern, Leads und Geschäften aus dem CRM, Live-Agentenkonversationen, Tickets und Help-Center-Artikel.
Unzulässige Datenabfrage durch Nutzer
Neben dieser SQL-Injection-Schwachstelle, die eine Datenexfiltration als Administrator erlaubt, fanden die Forscher auch eine Sicherheitslücke mit breiterer Wirkung. Hierfür waren vor allem mangelnde logische Prüfungen verantwortlich. So überprüfte das API beispielsweise nicht, ob der User überhaupt die Berechtigung hatte, auf die Datenbank zuzugreifen und Abfragen auszuführen. Auf diese Weise konnte ein neu erstellter Nutzer die API aufrufen, die Abfrage ändern und Daten aus einer beliebigen Tabelle im RDS des Zendesk-Zielkontos stehlen, ohne dass SQLi erforderlich war.
Zendesk hat unmittelbar nach der Meldung der Schwachstellen mit der Behebung begonnen und konnte die Sicherheitslücken in weniger als einer Arbeitswoche beseitigen. Ohne den Patch wäre es Angreifern möglich gewesen, auf Unterhaltungen, E-Mail-Adressen, Tickets, Kommentare und andere Informationen von Zendesk-Konten mit aktiviertem Explore zuzugreifen und diese für Angriffe zu nutzen.
dr
[1] https://www.zendesk.de
[2] https://www.varonis.com/blog/zendesk-sql-injection-and-access-flaws