Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về các lỗ hổng hiện đã được vá trong Zendesk Explore có thể đã bị kẻ tấn công khai thác để giành quyền truy cập trái phép vào thông tin từ các tài khoản khách hàng đã bật tính năng này.
Varonis cho biết trong một báo cáo được chia sẻ với The Hacker News: “Trước khi được vá, lỗ hổng sẽ cho phép các tác nhân đe dọa truy cập vào các cuộc hội thoại, địa chỉ email, yêu cầu, nhận xét và các thông tin khác từ các tài khoản Zendesk có bật tính năng Khám phá.
Công ty an ninh mạng cho biết không có bằng chứng nào cho thấy các vấn đề đã được khai thác tích cực trong các cuộc tấn công trong thế giới thực. Không có hành động được yêu cầu trên một phần của khách hàng.
Zendesk Explore là một giải pháp báo cáo và phân tích cho phép các tổ chức “xem và phân tích thông tin chính về khách hàng cũng như tài nguyên hỗ trợ của bạn”.
Theo công ty phần mềm bảo mật, việc khai thác lỗ hổng trước tiên yêu cầu kẻ tấn công phải đăng ký dịch vụ yêu cầu tài khoản Zendesk của nạn nhân với tư cách là người dùng bên ngoài mới, một tính năng có thể được bật theo mặc định để cho phép người dùng cuối gửi yêu cầu hỗ trợ.
Lỗ hổng liên quan đến một thao tác chèn SQL trong API GraphQL có thể bị lạm dụng để lọc tất cả thông tin được lưu trữ trong cơ sở dữ liệu với tư cách là người dùng quản trị, bao gồm địa chỉ email, vé và cuộc trò chuyện với các đại lý trực tiếp.
Lỗ hổng thứ hai liên quan đến vấn đề truy cập logic liên quan đến API thực thi truy vấn, được định cấu hình để chạy truy vấn mà không cần kiểm tra xem “người dùng” thực hiện cuộc gọi có đủ quyền để thực hiện điều đó hay không.
“Điều này có nghĩa là người dùng cuối mới được tạo có thể gọi API này, thay đổi truy vấn và lấy cắp dữ liệu từ bất kỳ bảng nào trong RDS của tài khoản Zendesk đích mà không cần SQLi,”
Varonis cho biết các vấn đề đã được tiết lộ cho Zendesk vào ngày 30 tháng 8, sau đó các điểm yếu đã được công ty khắc phục vào ngày 8 tháng 9 năm 2022.
