Yaygın olarak kullanılan müşteri hizmetleri aracı Zendesk’teki bir güvenlik açığı ortaya çıkarıldı. Bu kusur, saldırganların Zendesk kullanan herhangi bir şirketin destek biletlerine erişmesine olanak tanıdı ve hassas bilgiler için önemli riskler oluşturdu.
Zendesk başlangıçta e-posta sahteciliği içeren güvenlik açığını reddetti ancak daha sonra şirketi kritik güvenlik düzeltmeleri uygulamaya zorladı. İşte konuya ve sonuçlarına ayrıntılı bir bakış.
Güvenlik Açığı: E-posta Sahtekarlığı Nasıl Suistimal Edildi?
Zendesk, dünya çapında büyük şirketler tarafından kullanılan müşteri destek bildirimlerini yönetmek için popüler bir platformdur. Kusur, Zendesk’in e-posta sahteciliğine karşı yeterli korumaya sahip olmadığı tespit edildiğinde keşfedildi.
Bu gözetim, saldırganların e-posta işbirliği özelliğinden yararlanmasına ve destek kayıtlarına yetkisiz erişim elde etmesine olanak tanıdı.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Süreç endişe verici derecede basitti. Bir şirketin Zendesk destek portalına bir e-posta gönderildiğinde, support+id{id}@company.com gibi benzersiz bir yanıt adresiyle yeni bir destek bildirimi oluşturulur.
Bir saldırgan bu bilet kimliğini biliyorsa, orijinal talep sahibinin adresinden ve CC’den sahte bir e-posta gönderebilir.
Zendesk daha sonra saldırganın e-postasını bilete ekleyerek onlara bilet geçmişine tam erişim sağlayacaktı. Bir saldırganın bu süreci nasıl otomatikleştirebileceğini gösteren bir kod parçasını burada bulabilirsiniz:
const sendmail = require('sendmail')();
// Assuming the ticket you created in step #2 was assigned a ticket ID of #453
// verification email landed somewhere near there
const range = [448, 457];
for (let i = range[0]; i < range[1]; i++) {
// Send spoofed emails from Apple to Zendesk
sendmail({
from: '[email protected]',
to: support+id${i}@company.com,
cc: '[email protected]',
subject: '',
html: 'comment body',
}, function (err, reply) {
console.log(err && err.stack);
console.dir(reply);
});
}İlk İşten Çıkarılma ve Sonraki Tepkiler
Bu güvenlik açığını keşfeden araştırmacı, bunu Zendesk’in hata ödül programı aracılığıyla bildirdi.
Ancak rapor, e-posta sahtekarlığına dayandığı için başlangıçta “kapsam dışı” olduğu gerekçesiyle reddedildi.
Bu yanıt doğrudan Zendesk’ten değil, HackerOne’daki üçüncü taraf önceliklendirme hizmetleri aracılığıyla geldi. Araştırmacının ısrarı, Zendesk kullanan bireysel şirketlerin bu konuda uyarılmasıyla meyvesini verdi.
Birçoğu, sistemlerini korumak için Zendesk’in e-posta işbirliği özelliğini hemen devre dışı bıraktı. Bu şirketlerin baskısı sonunda Zendesk’i bu güvenlik açığını kabul etmeye ve ele almaya zorladı.
GitHub raporuna göre bu güvenlik açığının etkileri Zendesk’in ötesine uzanıyordu.
Araştırmacı, kusurun, birçok şirketin hem Slack hem de Zendesk’te kullandığı Tek Oturum Açma (SSO) sistemlerinden yararlanarak özel Slack çalışma alanlarına sızmak için kullanılabileceğini fark etti.
Saldırganlar, bir şirketin destek e-postasıyla bir Apple hesabı oluşturarak ve doğrulama kodu talep ederek, Apple OAuth girişi aracılığıyla Slack hesaplarına erişmek için aynı sahtekarlık tekniğini kullanabilir.
Bu artış, birbirine bağlı sistemlerin görünüşte küçük güvenlik açıkları nedeniyle nasıl tehlikeye atılabileceğini gösterdi.
Sonrası ve Öğrenilen Dersler
Sorunu etkilenen şirketlere haftalarca bildirdikten sonra bazıları hızla harekete geçti, diğerleri ise Zendesk’i suçladı.
Sonunda Zendesk, spam filtrelerini otomatik olarak geliştirerek ve şüpheli e-postaları askıya alarak düzeltmeler uyguladı.
Bu önlemlere rağmen araştırmacı, açıklama kurallarının ihlal edildiği iddiası nedeniyle Zendesk’ten herhangi bir ödül almadı. Ancak uyarıyı takdir eden şirketlerden 50.000 doların üzerinde ödül kazandılar.
Bu olay, Zendesk gibi üçüncü taraf araçlardaki sağlam güvenlik önlemlerinin kritik önemini vurgulamaktadır. Şirketler entegre sistemlerindeki güvenlik açıklarına karşı dikkatli olmalı ve kapsamlı doğrulama süreçlerinin yürürlükte olduğundan emin olmalıdır.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)