Los investigadores han descubierto dos vulnerabilidades diferentes que violan la seguridad de Zendesk Explore. La explotación de las fallas podría permitir que un adversario filtre datos de clientes. Los proveedores corrigieron las fallas antes de un exploit malicioso, protegiendo así a los usuarios.
Vulnerabilidades de Zendesk Explore
Según un artículo reciente de Varonis Threat Labs, sus investigadores descubrieron varias vulnerabilidades de seguridad en Zendesk Explore.
Específicamente, Explore es un servicio de informes y análisis dedicado de Zendesk, que facilita los servicios al cliente. Dado que el servicio trata directamente con la atención al cliente, cualquier vulnerabilidad podría afectar directamente los datos del cliente. Esto es lo que afirmaron los investigadores en su informe al describir el impacto de un posible exploit.
La falla supuestamente permitió a los actores de amenazas acceder a conversaciones, direcciones de correo electrónico, tickets, comentarios y otra información de las cuentas de Zendesk con Explore habilitado.
Como se explicó, la primera de estas fallas de seguridad en Zendesk Explore implica la inyección de SQL. La explotación de esta vulnerabilidad permitió a los investigadores de Varonis extraer la lista de tablas de la instancia RDS de la plataforma y filtrar otros datos de la base de datos.
Luego, el segundo problema que informaron fue una falla de acceso lógico. Debido a la falta de controles lógicos en las solicitudes a la API de ejecución de consultas, la falla permitió a los investigadores modificar documentos que exponen el «funcionamiento interno del sistema».
Además, los investigadores notaron la incapacidad de evaluar si los identificadores de «consulta», «fuentes de datos» y «modelos de cubo» pertenecían al usuario actual. Mientras que otro impacto más severo de esta falla permitió la exfiltración de datos. Como indicado,
El extremo de la API no verificó que la persona que llama estuviera autorizada para acceder a la base de datos y ejecutar consultas. Esto significaba que un usuario final recién creado podía invocar esta API, modificar la consulta y robar datos de cualquier tabla en el RDS de la cuenta de Zendesk de destino, sin necesidad de SQLi.
La explotación de estas vulnerabilidades simplemente requería que un adversario se registrara en el sistema de emisión de boletos de la cuenta de Zendesk de destino. Aunque Zendesk Explore no se habilita automáticamente, el registro de nuevos usuarios está habilitado de manera predeterminada, lo que pone en riesgo a los sistemas que tienen Explore habilitado.
Parches implementados
Luego de este descubrimiento, los investigadores de Varonis se comunicaron con los funcionarios de Zendesk e informaron sobre los errores. En respuesta, Zendesk corrigió rápidamente las vulnerabilidades, previniendo cualquier riesgo de seguridad asociado con posibles vulnerabilidades.
Los investigadores confirman las correcciones y aseguran a los clientes que no se preocupen por las acciones requeridas.
Háganos saber sus pensamientos en los comentarios.
