Yaygın olarak kullanılan bir müşteri hizmetleri aracı olan Zendesk’te, saldırganların çok sayıda Fortune 500 şirketinin hassas destek biletlerine yetkisiz erişim sağlamasına olanak tanıyan ciddi bir güvenlik açığı açığa çıktı.
Daniel adlı 15 yaşındaki bir böcek avcısı tarafından keşfedilen kusur, Zendesk’in e-posta sahtekarlığına karşı etkili koruma eksikliğinden yararlanarak saldırganların dahili sistemlere sızmasına ve gizli bilgilere erişmesine olanak sağladı.
Cloudflare gibi büyük isimlerin güvendiği milyar dolarlık bir şirket olan Zendesk, şirketler tarafından gelen e-postaları yönetmek ve destek biletleri oluşturmak için kullanılıyor.
Ancak, bir şirketin destek e-postasındaki tüm e-postaların Zendesk’e iletilmesi şeklindeki ortak kurulum, potansiyel bir güvenlik açığı yarattı.
Bir saldırganın Zendesk sistemine erişim sağlaması durumunda bu boşluktan yararlanılabilir ve potansiyel olarak aynı etki alanını kullanan Tek Oturum Açma (SSO) yapılandırmaları nedeniyle dahili sistemlere erişmesine izin verilebilir.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Zendesk E-posta Sahtekarlığı Güvenlik Açığı
Güvenlik açığı şaşırtıcı derecede basitti. Zendesk’in e-posta işbirliği özelliği, saldırganların sahte e-postalar göndererek kendilerini destek bildirimlerine eklemelerine olanak tanıdı.
Bir saldırgan, artan kimlikler nedeniyle genellikle tahmin edilmesi kolay olan destek e-posta adresini ve bilet kimliğini bilerek, orijinal gönderenin kimliğine bürünebilir ve bilet geçmişine tam erişim sağlayabilir.
Bu, bir saldırganın devam eden herhangi bir destek görüşmesine katılabileceği ve hassas bilgileri okuyabileceği anlamına geliyordu; bunun nedeni, Zendesk’in e-posta sahteciliğine karşı uygun güvenlik önlemlerine sahip olmamasıydı.
Daniel, güvenlik açığını Zendesk’in hata ödül programı aracılığıyla bildirdi ancak başlangıçta hayal kırıklığı yaratan bir yanıtla karşılandı.
Rapor, HackerOne programının “kapsam dışı” olduğu düşünülen e-posta sahtekarlığına dayandığı için reddedildi.
Daniel, “Raporlamam sırasında HackerOne ve diğer platformlardaki bireysel şirketlerden 50.000 dolardan fazla ödül kazandım” dedi.
Güvenlik riskine rağmen Zendesk’in rapora göre hareket etmeyi reddetmesi Daniel’in, hatanın yüzlerce şirketin özel Slack çalışma alanlarına sızmak için nasıl kullanılabileceğini göstererek sorunu tırmandırmasına yol açtı.
Bu istismar, bir şirketin destek e-postasıyla bir Apple hesabı oluşturmayı, bir doğrulama kodu istemeyi ve Zendesk’in otomatik olarak oluşturduğu bilete erişmek için e-posta sahtekarlığı hatasını kullanmayı içeriyordu.
Bu, Daniel’in Apple hesabını doğrulamasına ve “Apple ile Giriş Yap” özelliğini kullanarak Slack’te oturum açmasına ve özel Slack kanallarına etkili bir şekilde erişim sağlamasına olanak tanıdı.
Güvenlik açığını bireysel şirketlere bildirdikten sonra çoğu şirket örneklerine yama uygulamak için hemen harekete geçti, diğerleri ise bunun bir Zendesk sorunu olduğunu savundu.
Etkilenen şirketlerin baskısı sonunda Zendesk’i sorunu çözmeye zorladı, ancak çözülmesi iki aydan fazla sürdü.
Daniel, bireysel şirketlerden 50.000 dolardan fazla ödül kazandı, ancak güvenlik açığını etkilenen şirketlerle paylaşarak HackerOne’ın açıklama kurallarını ihlal ettiğini öne sürerek Zendesk’ten herhangi bir takdir veya ödül almadı.
Zendesk nihayet 2 Temmuz 2024’te, Apple tarafından gönderilen kullanıcı doğrulama e-postaları ve Google’dan gelen işlemsel olmayan e-postalar da dahil olmak üzere belirli e-posta sınıflarını otomatik olarak askıya almak için filtreler uygulayarak sorunu çözdüklerini doğruladı.
Şirket ayrıca Gönderen Kimlik Doğrulaması işlevlerini güçlendirmeyi ve müşterilere daha gelişmiş güvenlik kontrolleri sağlamayı planlıyor.
Bu kritik kusur, büyük şirketlerin kullandığı üçüncü taraf araçlarda sağlam güvenlik önlemlerinin alınmasının önemini vurguluyor.
Güvenlik açığının giderilmesine yönelik yolculuk, reddedilmeler ve yavaş yanıtların sinir bozucu bir karışımıydı, ancak bu, hata avcılarının güvenlik risklerini belirleme ve ele alma konusundaki kritik rolünün altını çiziyor.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)