Kritische Lücken in Zendesk geschlossen

Lesezeit
1 Minute
Bis jetzt gelesen

Kritische Lücken in Zendesk geschlossen

15.11.2022 - 16:12
Veröffentlicht in:
Sicherheitsforscher der Varonis Threat Labs haben eine SQL-Injection-Schwachstelle und eine Sicherheitslücke für den logischen Zugriff in Zendesk Explore, dem Berichts- und Analysedienst der weitverbreiteten Helpdesk-Software Zendesk, entdeckt. Es gibt derzeit keine Hinweise darauf, dass hierdurch Kunden-Konten kompromittiert wurden.
Zendesk [1] verwendet das relativ neue API-Format GraphQL in seinen Produkten, insbesondere in der Verwaltungskonsole. Bei einer genaueren Untersuchung fanden die Sicherheitsforscher von Varonis [2] eine größere Anzahl von Wrappern um spezifische Daten. In aller Regel weist dies darauf hin, dass viele verschiedene Dienste, die zudem höchstwahrscheinlich von unterschiedlichen Entwicklern oder sogar Teams erstellt wurden, zur Verarbeitung dieser Daten verwendet werden: Mehr Code bedeutet grundsätzlich mehr potenzielle Schwachstellen.

Entsprechend konnten die Experten mithilfe einer String-Darstellungsmethode die Liste der Tabellen aus der RDS-Instanz von Zendesk extrahieren und alle in der Datenbank gespeicherten Informationen exfiltrieren, darunter E-Mail-Adressen von Benutzern, Leads und Geschäften aus dem CRM, Live-Agentenkonversationen, Tickets und Help-Center-Artikel.

Unzulässige Datenabfrage durch Nutzer
Neben dieser SQL-Injection-Schwachstelle, die eine Datenexfiltration als Administrator erlaubt, fanden die Forscher auch eine Sicherheitslücke mit breiterer Wirkung. Hierfür waren vor allem mangelnde logische Prüfungen verantwortlich. So überprüfte das API beispielsweise nicht, ob der User überhaupt die Berechtigung hatte, auf die Datenbank zuzugreifen und Abfragen auszuführen. Auf diese Weise konnte ein neu erstellter Nutzer die API aufrufen, die Abfrage ändern und Daten aus einer beliebigen Tabelle im RDS des Zendesk-Zielkontos stehlen, ohne dass SQLi erforderlich war.

Zendesk hat unmittelbar nach der Meldung der Schwachstellen mit der Behebung begonnen und konnte die Sicherheitslücken in weniger als einer Arbeitswoche beseitigen. Ohne den Patch wäre es Angreifern möglich gewesen, auf Unterhaltungen, E-Mail-Adressen, Tickets, Kommentare und andere Informationen von Zendesk-Konten mit aktiviertem Explore zuzugreifen und diese für Angriffe zu nutzen.

dr

[1] https://www.zendesk.de
[2] https://www.varonis.com/blog/zendesk-sql-injection-and-access-flaws

Tags

Ähnliche Beiträge

Exchange ungeschützt im Visier Lars Nitsch Di., 26.03.2024 - 13:09
Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik hervor.
Mehr Transparenz bei Benutzeraktivitäten Lars Nitsch Mo., 25.03.2024 - 09:41
BeyondTrust hat Version 24.1 von "Endpoint Privilege Management für Windows & Mac" veröffentlicht. Die Enterprise-Software zur Durchsetzung von Least-Privilege-Strategien und granularer Applikationskontrolle soll im aktuellen Release mit neuen Funktionen für höhere Benutzerfreundlichkeit und optimierte Arbeitsabläufe sorgen.
Keeper Security mit Updates für mehr administrative Kontrolle Lars Nitsch Fr., 22.03.2024 - 08:51
Keeper Security, Anbieter von Zero-Trust- und Zero-Knowledge-Software zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen hat die Benutzeroberfläche seiner Admin-Konsole optimiert und das Onboarding überarbeitet. Die Updates stellen eine direkte Reaktion auf die Rückmeldungen der Benutzer-Community dar.