Sicherheitsforscher der Varonis Threat Labs haben eine SQL-Injection-Schwachstelle und eine Sicherheitslücke für den logischen Zugriff in Zendesk Explore, dem Berichts- und Analysedienst der weitverbreiteten Helpdesk-Software Zendesk, entdeckt. Es gibt derzeit keine Hinweise darauf, dass hierdurch Kunden-Konten kompromittiert wurden, zumal Zendesk unmittelbar nach der Meldung der Schwachstellen mit der Behebung begonnen hat und die Sicherheitslücken in weniger als einer Arbeitswoche beseitigen konnte. Ohne den Patch wäre es Angreifern möglich gewesen, auf Unterhaltungen, E-Mail-Adressen, Tickets, Kommentare und andere Informationen von Zendesk-Konten mit aktiviertem Explore zuzugreifen und diese für Angriffe zu nutzen.
Hintergrund
Zendesk verwendet das relativ neue API-Format GraphQL in seinen Produkten, insbesondere in der Verwaltungskonsole. Bei einer genaueren Untersuchung fanden die Sicherheitsforscher von Varonis eine größere Anzahl von Wrappern um spezifische Daten. In aller Regel weist dies darauf hin, dass viele verschiedene Dienste, die zudem höchstwahrscheinlich von unterschiedlichen Entwicklern oder sogar Teams erstellt wurden, zur Verarbeitung dieser Daten verwendet werden: Mehr Code bedeutet grundsätzlich mehr potenzielle Schwachstellen. Entsprechend konnten die Experten mithilfe einer String-Darstellungsmethode die Liste der Tabellen aus der RDS-Instanz von Zendesk extrahieren und alle in der Datenbank gespeicherten Informationen exfiltrieren, darunter E-Mail-Adressen von Benutzern, Leads und Geschäften aus dem CRM, Live-Agentenkonversationen, Tickets und Help-Center-Artikel. Neben dieser SQL-Injection-Schwachstelle, die eine Datenexfiltration als Administrator erlaubt, fanden die Forscher auch eine Sicherheitslücke mit breiterer Wirkung. Hierfür waren vor allem mangelnde logische Prüfungen verantwortlich. So überprüfte das API beispielsweise nicht, ob der User überhaupt die Berechtigung hatte, auf die Datenbank zuzugreifen und Abfragen auszuführen. Auf diese Weise konnte ein neu erstellter Nutzer die API aufrufen, die Abfrage ändern und Daten aus einer beliebigen Tabelle im RDS des Zendesk-Zielkontos stehlen, ohne dass SQLi erforderlich war.
Die schnelle und umfangreiche Reaktion von Zendesk ist herausragend, aber nicht die Regel.
„Die schnelle und umfangreiche Reaktion von Zendesk war wirklich herausragend“, sagt Michael Scheffler, Country Manager DACH von Varonis. „In der Praxis sehen wir leider relativ häufig, dass dies nicht so schnell, manchmal auch nur teilweise und erschreckend widerwillig erfolgt. Deshalb sollte man stets einem ‚Assume Breach‘-Ansatz folgen, der auch mögliche Schwachstellen einbezieht. Sicherheitsverantwortliche müssen immer damit rechnen, bereits zum Opfer eines Angriffs geworden zu sein. Deshalb sollten sie ihren Fokus auf das Schützenswerte, typischerweise ihre Daten, richten und sicherstellen, dass der potenzielle Schaden möglichst gering ist. Durch einen daten-zentrierten Ansatz lässt sich sicherstellen, dass der Explosionsradius reduziert und verdächtiges User-Verhalten schnell identifiziert wird.“
Weitere technische Details und Informationen finden sich im entsprechenden Blog-Beitrag von Varonis.