Kritische Lücken in Zendesk geschlossen

Lesezeit
1 Minute
Bis jetzt gelesen

Kritische Lücken in Zendesk geschlossen

15.11.2022 - 16:12
Veröffentlicht in:
Sicherheitsforscher der Varonis Threat Labs haben eine SQL-Injection-Schwachstelle und eine Sicherheitslücke für den logischen Zugriff in Zendesk Explore, dem Berichts- und Analysedienst der weitverbreiteten Helpdesk-Software Zendesk, entdeckt. Es gibt derzeit keine Hinweise darauf, dass hierdurch Kunden-Konten kompromittiert wurden.
Zendesk [1] verwendet das relativ neue API-Format GraphQL in seinen Produkten, insbesondere in der Verwaltungskonsole. Bei einer genaueren Untersuchung fanden die Sicherheitsforscher von Varonis [2] eine größere Anzahl von Wrappern um spezifische Daten. In aller Regel weist dies darauf hin, dass viele verschiedene Dienste, die zudem höchstwahrscheinlich von unterschiedlichen Entwicklern oder sogar Teams erstellt wurden, zur Verarbeitung dieser Daten verwendet werden: Mehr Code bedeutet grundsätzlich mehr potenzielle Schwachstellen.

Entsprechend konnten die Experten mithilfe einer String-Darstellungsmethode die Liste der Tabellen aus der RDS-Instanz von Zendesk extrahieren und alle in der Datenbank gespeicherten Informationen exfiltrieren, darunter E-Mail-Adressen von Benutzern, Leads und Geschäften aus dem CRM, Live-Agentenkonversationen, Tickets und Help-Center-Artikel.

Unzulässige Datenabfrage durch Nutzer
Neben dieser SQL-Injection-Schwachstelle, die eine Datenexfiltration als Administrator erlaubt, fanden die Forscher auch eine Sicherheitslücke mit breiterer Wirkung. Hierfür waren vor allem mangelnde logische Prüfungen verantwortlich. So überprüfte das API beispielsweise nicht, ob der User überhaupt die Berechtigung hatte, auf die Datenbank zuzugreifen und Abfragen auszuführen. Auf diese Weise konnte ein neu erstellter Nutzer die API aufrufen, die Abfrage ändern und Daten aus einer beliebigen Tabelle im RDS des Zendesk-Zielkontos stehlen, ohne dass SQLi erforderlich war.

Zendesk hat unmittelbar nach der Meldung der Schwachstellen mit der Behebung begonnen und konnte die Sicherheitslücken in weniger als einer Arbeitswoche beseitigen. Ohne den Patch wäre es Angreifern möglich gewesen, auf Unterhaltungen, E-Mail-Adressen, Tickets, Kommentare und andere Informationen von Zendesk-Konten mit aktiviertem Explore zuzugreifen und diese für Angriffe zu nutzen.

dr

[1] https://www.zendesk.de
[2] https://www.varonis.com/blog/zendesk-sql-injection-and-access-flaws

Tags

Ähnliche Beiträge

Sicherheits-Spezialist warnt vor Cyber-Kidnapping

Wie ESET warnt, mehren sich Fälle einer neuartigen, "Cyber-Kidnapping" bezeichneten Online-Betrugsmasche. Bei diesen Untaten rufen Kriminelle ihre Opfer an, lassen auf deren Display eine unbekannte Nummer erscheinen und schließlich ein Kind des Opfers um Hilfe schreien. Danach meldet sich ein Entführer und fordert ein Lösegeld, ansonsten passiere etwas Schlimmes.