Pesquisadores da Varonis divulgaram a descoberta de uma vulnerabilidade que permite a injeção de código no SQL, e uma falha no acesso lógico do Zendesk Explore, o serviço de geração de relatórios do Zendesk – um dos aplicativos mais usados no mundo para atendimento a clientes. A divulgação ocorreu nesta terça-feira (15) e foi corrigida no mesmo dia pela fabricante.
Antes de ser corrigida, a falha permitia que os invasores acessassem conversas, endereços de e-mail, tickets, comentários e outras informações de contas do Zendesk com o Explore ativado.
Para explorar a vulnerabilidade, um invasor precisava primeiro se registrar no serviço de emissão de tíquetes da conta do Zendesk de sua vítima como um novo usuário externo. O registro é ativado por padrão porque muitos clientes do Zendesk dependem de usuários finais que enviam tíquetes de suporte diretamente pela web.
Anatomia do ataque
A Zendesk usa várias APIs GraphQL em seus produtos, especialmente no console de administração. Como o GraphQL é um formato de API relativamente novo, os pesquisadores da Varonis iniciaram seu estudo pelas APIs – e encontraram um campo em uma das APIs que permitia o input de textos XML simples – embora a maior parte das informações (trafegando em XML) estivesse codificada com o método Base64 – utilizado para a transmissão de arquivos na Internet.
O documento XML encontrado sem a codificação Base64 define o relacionamento entre um banco de dados relacional gerenciado em AWS e outros documentos de consulta da base de dados. Por conta disso, a vulnerabilidade permitia um ataque via injeção SQL.
Falha no acesso lógico
A partir dessa falha, os pesquisadores da Varonis descobriram que o método dessa API de execução de consulta acaba mostrando quais dados poderiam ser descobertos no banco de dados. Além disso, a API não verificava a integridade dos documentos enviados, permitindo aos especialistas alterá-los, de maneira a expor o funcionamento interno do sistema.
De forma mais crítica, o endpoint da API não verificou se o chamador tinha permissão para acessar o banco de dados e executar consultas. Isso significava que um usuário final recém-criado poderia invocar essa API, alterar a consulta e roubar dados.
Com a descoberta e a notificação à Zendesk, a empresa rapidamente corrigiu as falhas, e nenhuma ação por parte dos clientes precisa ser tomada.
