Researchers Reported Critical SQLi and Access Flaws in Zendesk Analytics Service
2011/11/15 TheHackerNews — サイバー・セキュリティ研究者たちが、Zendesk Explore に存在する欠陥 (パッチ適用済み) の詳細を公開した。この脆弱性の悪用に成功した攻撃者は、Explore 機能を ON にした顧客アカウントの情報に、不正にアクセスする可能性があったとされる。
Varonis は、「パッチが適用される以前において、この欠陥を悪用する脅威アクターは、Explore を ON にした Zendesk アカウントにアクセスし、会話/メールアドレス/チケット/コメントなどの情報を取得できただろう」と、The Hacker News と共有したレポートの中で述べている。
Varonis は、この問題が、実際の攻撃で積極的に悪用されたことを示す証拠はないと述べている。そして、顧客側での対処は不要である。Zendesk Explore とは、ユーザー組織における顧客および、サポートリソースに関する重要な情報を表示/分析するレポート・ソリューションである。
Varonis によると、この欠陥を悪用する攻撃者は、被害者の Zendesk アカウントのチケッティング・サービスに、新しい外部ユーザーとして登録する必要があるという。そして、この機能は、エンドユーザーがサポート・チケットを送信できるよう、デフォルトでは ON になっていると思われる。
この脆弱性は、GraphQL API における SQL インジェクションに関連している。したがって、この脆弱性の悪用に成功した攻撃者が、メールアドレス/チケット/ライブエージェントとの会話などの、データベースに保存されている全ての情報を、管理者権限で流出させる可能性が生じる。
2つ目の欠陥は、クエリー実行 API に関連するロジック・アクセスの問題であり、リクエストを行うユーザーの権限を確認することなく、クエリー実行を許すように設定されていた。
Varonis は、「新しく作成されたエンドユーザー・アカウントから、がこの API を呼び出してクエリを変更し、Zendesk アカウントの RDS のテーブルから、SQLi を用いることなくデータ窃取が可能なことを意味する」と述べている。
Varonis によると、これらの問題は、8月30日に Zendesk に開示され、2022年9月8日に是正されたとのことだ。
Wikipedia で調べてみたら、Zendesk は SaaS で提供される Customer Service 製品であり、日本の顧客も多いようです。また、11月23日の時点では、CVE は採番されていないようですが、クラウドの脆弱性とのなので、このままなのかもしれません。なお、GraphQL API における SQL インジェクションに起因するとされていますが、2021年12月8日の「Salt Security レポート:REST API の後継とされる GraphQL の脆弱性について」という記事がありましたので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.