Meldung

Kritische Lücken in Zendesk geschlossen

Sicherheitsforscher der Varonis Threat Labs haben eine SQL-Injection-Schwachstelle und eine Sicherheitslücke für den logischen Zugriff in Zendesk Explore, dem Berichts- und Analysedienst der weitverbreiteten Helpdesk-Software Zendesk, entdeckt. Es gibt derzeit keine Hinweise darauf, dass hierdurch Kunden-Konten kompromittiert wurden.
Zendesk [1] verwendet das relativ neue API-Format GraphQL in seinen Produkten, insbesondere in der Verwaltungskonsole. Bei einer genaueren Untersuchung fanden die Sicherheitsforscher von Varonis [2] eine größere Anzahl von Wrappern um spezifische Daten. In aller Regel weist dies darauf hin, dass viele verschiedene Dienste, die zudem höchstwahrscheinlich von unterschiedlichen Entwicklern oder sogar Teams erstellt wurden, zur Verarbeitung dieser Daten verwendet werden: Mehr Code bedeutet grundsätzlich mehr potenzielle Schwachstellen.

Entsprechend konnten die Experten mithilfe einer String-Darstellungsmethode die Liste der Tabellen aus der RDS-Instanz von Zendesk extrahieren und alle in der Datenbank gespeicherten Informationen exfiltrieren, darunter E-Mail-Adressen von Benutzern, Leads und Geschäften aus dem CRM, Live-Agentenkonversationen, Tickets und Help-Center-Artikel.

Unzulässige Datenabfrage durch Nutzer
Neben dieser SQL-Injection-Schwachstelle, die eine Datenexfiltration als Administrator erlaubt, fanden die Forscher auch eine Sicherheitslücke mit breiterer Wirkung. Hierfür waren vor allem mangelnde logische Prüfungen verantwortlich. So überprüfte das API beispielsweise nicht, ob der User überhaupt die Berechtigung hatte, auf die Datenbank zuzugreifen und Abfragen auszuführen. Auf diese Weise konnte ein neu erstellter Nutzer die API aufrufen, die Abfrage ändern und Daten aus einer beliebigen Tabelle im RDS des Zendesk-Zielkontos stehlen, ohne dass SQLi erforderlich war.

Zendesk hat unmittelbar nach der Meldung der Schwachstellen mit der Behebung begonnen und konnte die Sicherheitslücken in weniger als einer Arbeitswoche beseitigen. Ohne den Patch wäre es Angreifern möglich gewesen, auf Unterhaltungen, E-Mail-Adressen, Tickets, Kommentare und andere Informationen von Zendesk-Konten mit aktiviertem Explore zuzugreifen und diese für Angriffe zu nutzen.
15.11.2022/dr

Tipps & Tools

Passwörter evakuieren [2.12.2022]

Wenn ein Windows-Update scheitert oder gar das ganze System abraucht, häufen sich schnell die Probleme – unter anderem sind sowohl die Passwörter der verschiedenen Anwendungen als auch die im System selbst abgelegten in Gefahr. Allerdings hiflt Ihnen das freie Tool "ExtPassword" dabei, hier Abhilfe zu schaffen. [mehr]

Studie: Viele deutsche Firmen nicht digital souverän [29.11.2022]

Zwar attestieren sich deutsche Unternehmen selbst ein stark ausgeprägtes Bewusstsein für die Wichtigkeit von digitaler Souveränität. Dennoch sind rund ein Viertel von ihnen in ihrer E-Mail-Infrastruktur stark von US-Cloudanbietern wie Microsoft oder Google abhängig, wie eine Umfrage von YouGov im Auftrag von mailbox.org ermittelte. [mehr]

Fachartikel

Wie Netzwerkingenieure für Anwendungssicherheit sorgen [30.11.2022]

In der IT-Sicherheit sprechen Experten gerne von Sicherheitswerkzeugen, Prävention und Schadensminderung als Teile einer guten Schutzstrategie. Ein entscheidender Faktor wird aber häufig übersehen: Zuverlässige und fähige Netzwerkingenieure, unterstützt von einer modernen Automatisierung zur Netzwerkverwaltung, Richtlinienkontrolle und Mikrosegmentierung. Warum es daneben auch die Zusammenarbeit aller IT-Abteilungen zu verbessern gilt, zeigt unser Beitrag. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen