Yamalı SQLi ve mantıksal erişim açıkları ciddi risk oluşturuyordu
Varonis’ten güvenlik araştırmacıları, popüler müşteri hizmetleri platformunun kullanıcıları için ciddi bir tehdit oluşturan Zendesk Explore’da SQL enjeksiyonu ve mantıksal erişim güvenlik açıklarının ayrıntılarını yayınladılar.
Varonis’e göre Zendesk, müşteri eylemi gerektirmeyen yamalar oluşturarak güvenlik açığı raporlarına yanıt olarak derhal harekete geçti.
Bunun nedeni, güvenlik açığının potansiyel kötü niyetli kişilerin, Keşfet’in etkinleştirildiği durumlarda Zendesk hesaplarında tutulan konuşmalara, destek taleplerine, yorumlara, e-posta adreslerine ve diğer bilgilere erişmesine izin vermesidir.
En son siber güvenlik araştırma haberlerini takip edin
Potansiyel istismar, bir saldırganın önce biletleme hizmetine, genellikle etkinleştirilen bir özellik olan, hedeflenen bir Zendesk hesabının harici kullanıcısı olarak kaydolmasını içerirdi. Güvenlik açığı bulunan Zendesk Explore tesisi, varsayılan olarak etkin değildir, ancak CRM platformunun analitik içgörüler sayfasına güç verdiği için hala yaygın olarak kullanılmaktadır.
Zendesk, ürünlerinde, özellikle yönetim konsolunda birden fazla GraphQL API kullanır. GraphQL görece yeni bir API formatı olduğu için bu, Varonis Threat Labs’tan güvenlik araştırmacılarını verimli bir arama olduğu ortaya çıkan Zendesk’in uygulamasını keşfetmeye sevk etti.
API avlanma yeri
Zendesk, ürünlerinde birden çok API kullanır. Varonis Threat Labs adlı bir sorgu alanı buldu. Sorguyu çalıştır. Bu alan, Base64 ile kodlanmış bir XML belgesinin içinde, bir JSON nesnesinin içinde Base64 ile kodlanmış bir JSON nesnesi içerdiği için göze çarpıyordu. Bunun gibi çoklu iç içe kodlamalar, genellikle bu verileri işlemek için birçok farklı hizmetin (muhtemelen ayrı geliştiriciler ve hatta ekipler tarafından oluşturulmuş) kullanıldığı anlamına gelir.
Araştırmacılar, teknik bir blog yazısında, “Bu API yöntemi, Sorgu XML’li bir JSON nesnesini ve bazıları Base64’te kodlanmış olan diğer birçok XML parametresini kabul ediyor” diye açıklıyor.
“API’ye iletilen alanlardan biri extra_param3_value düz metin bir XML belgesi içeren, Tasarım ŞemasıBase64’te kodlanmamış.”
Tasarım Şeması bir AWS RDS (yönetilen ilişkisel veritabanı) ile Sorgu XML belgesi arasındaki ilişkiyi tanımlar.
Eski okul SQL enjeksiyonu
Varonis, bu XML belgesindeki ad özniteliklerinin bir SQL enjeksiyon saldırısına karşı savunmasız olduğunu keşfetti. Güvenlik araştırmacıları, verileri sızdırmak için bu güvenlik açığından yararlanmanın bir yolunu buldu.
gelen sorulara cevaben günlük yudumVaronis’te bir güvenlik mühendisi olan Michael Buckbee, sorunun kodlama nedeniyle birden çok düzeyde karmaşık olmasına rağmen, “özünde” bunun klasik bir SQL enjeksiyon sorunu olduğunu açıkladı.
Buckbee, “Temel neden, uygulamada uygun şekilde filtrelenmemiş alanlardı” dedi.
Araştırmacı şunları ekledi: “SQL komutunun istemciden Zendesk’e geri iletilmesi yöntemi, bir GraphQL eyleminin parçası olarak birden çok Base64 kodlu JSON ve XML düzeyiyle karmaşık olsa da, SQL Enjeksiyonunun temel nedeni birden fazla kodlama düzeyi var, ancak uygulama sunucusunda yanıtı ayrıştıran yetersiz doğrulama oluyor.”
Araştırmacılar keşfetmeye devam ettiler Sorguyu çalıştır API, istekler üzerinde birkaç mantıksal kontrol gerçekleştiremedi.
Varonis, “En önemlisi, API uç noktası, arayanın veritabanına erişme ve sorgu yürütme iznine sahip olduğunu doğrulamadı” diyor. “Bu, yeni oluşturulan bir son kullanıcının SQLi gerektirmeden bu API’yi çağırabileceği, sorguyu değiştirebileceği ve hedef Zendesk hesabının RDS’sindeki herhangi bir tablodan veri çalabileceği anlamına geliyordu.”
şeffaftı
Zendesk, Discover’daki sorunları müşterilerin herhangi bir işlem yapmasına gerek kalmadan Varonis Threat Labs’ın yardımıyla hızla çözdü.
günlük yudum Zendesk’i güvenlik açıkları, Varonis’in araştırması ve iyileştirme eylemi hakkında yorum yapmaya davet etti. Henüz bir yanıt alamadık, ancak daha fazla haber geldikçe ve bu hikayeyi güncelleyeceğiz.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Plesk API etkin sunucu devralmasında CSRF