Falha no Zendesk Explore permite roubo de dados de conversas

Antes de ser corrigida, a falha permitia que os invasores acessassem conversas, endereços de e-mail, tickets, comentários e outras informações de contas do Zendesk com o Explore ativado

Compartilhar:

Pesquisadores da Varonis divulgaram a descoberta de uma vulnerabilidade que permite a injeção de código no SQL, e uma falha no acesso lógico do Zendesk Explore, o serviço de geração de relatórios do Zendesk – um dos aplicativos mais usados no mundo para atendimento a clientes. A divulgação ocorreu nesta terça-feira (15) e foi corrigida no mesmo dia pela fabricante.

 

Antes de ser corrigida, a falha permitia que os invasores acessassem conversas, endereços de e-mail, tickets, comentários e outras informações de contas do Zendesk com o Explore ativado.

 

Para explorar a vulnerabilidade, um invasor precisava primeiro se registrar no serviço de emissão de tíquetes da conta do Zendesk de sua vítima como um novo usuário externo. O registro é ativado por padrão porque muitos clientes do Zendesk dependem de usuários finais que enviam tíquetes de suporte diretamente pela web.

 

Anatomia do ataque

 

A Zendesk usa várias APIs GraphQL em seus produtos, especialmente no console de administração. Como o GraphQL é um formato de API relativamente novo, os pesquisadores da Varonis iniciaram seu estudo pelas APIs – e encontraram um campo em uma das APIs que permitia o input de textos XML simples – embora a maior parte das informações (trafegando em XML) estivesse codificada com o método Base64 – utilizado para a transmissão de arquivos na Internet.

 

O documento XML encontrado sem a codificação Base64 define o relacionamento entre um banco de dados relacional gerenciado em AWS e outros documentos de consulta da base de dados. Por conta disso, a vulnerabilidade permitia um ataque via injeção SQL.

 

Falha no acesso lógico

 

A partir dessa falha, os pesquisadores da Varonis descobriram que o método dessa API de execução de consulta acaba mostrando quais dados poderiam ser descobertos no banco de dados. Além disso, a API não verificava a integridade dos documentos enviados, permitindo aos especialistas alterá-los, de maneira a expor o funcionamento interno do sistema.

 

De forma mais crítica, o endpoint da API não verificou se o chamador tinha permissão para acessar o banco de dados e executar consultas. Isso significava que um usuário final recém-criado poderia invocar essa API, alterar a consulta e roubar dados.

 

Com a descoberta e a notificação à Zendesk, a empresa rapidamente corrigiu as falhas, e nenhuma ação por parte dos clientes precisa ser tomada.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Ministério da Gestão e Inovação publica guias orientativos de SI para população

Iniciativa inclui uma revista em quadrinhos para a população e duas publicações para ajudar quem atua com tecnologia no serviço...
Security Report | Overview

Caso Defesa Civil reforça necessidade de proteção em sistemas críticos, alerta pesquisa

O caso está sendo investigado pelas autoridades, que apuram a possibilidade de acesso não autorizado à plataforma utilizada para o...
Security Report | Overview

Análise de ameaças emite alerta para campanhas de phishing por código

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...