Zendesk のメール・スプーフィングの脆弱性 CVE-2024-49193 が FIX:長々と放置された理由は?

$50,000 Bounty: Researcher Reveals Critical Zendesk Email Spoofing Flaw (CVE-2024-49193)

2024/10/13 SecurityOnline — Zendesk のメール管理システムに存在する、深刻な脆弱性 CVE-2024-49193 が、セキュリティ研究者の Daniel により発見され、詳細に分析されている。この脆弱性の悪用に成功した攻撃者は、スプーフィング攻撃により、機密情報であるサポート・チケット履歴への、不正アクセスの可能性を得るという。この Daniel の報告に対して、Zendesk は否定していたが、問題の深刻さが明らかになったことで、同社は早急な対策を講じることになった。

Daniel が概説しているように、この脆弱性は Zendesk のメール・コラボレーションの処理に起因している。Zendesk では、すべてのチケットに対して、”support+id{id}@company.com” といった返信先アドレスを自動的に生成している。このアドレス生成により、サポート・リクエストに関連するメール・スレッドを、追跡することが可能になる。しかし、Zendesk のメール・スプーフィング保護に重大な見落としがあるため、このシステムが攻撃者に悪用される可能性が生じていた。

Daniel は、「この攻撃は、きわめて単純なものである。サポートメール・アドレスとチケット ID (インクリメント型なの推測しやすい) を知っている攻撃者であれば、メール・スプーフィングを使用してオリジナルの送信者を装える。 つまり、偽造メールを Zendeskに送信 することで、攻撃者は自分のメールを CC に追加し、機密情報が含まれている可能性のある、チケット履歴全体に完全にアクセスできるようになる」と説明している。

この欠陥は、今年の初めに発見され、Daniel はバグ報奨金プログラムを通じて迅速に報告したが、Zendesk の対応は理想的なものではなかった。つまり、このバグがメール・スプーフィングに依存するため、Zendesk は HackerOne プログラムの範囲外と見なし、彼の報告を却下したのだ。Daniel は、「このように深刻なセキュリティ・リスクが、軽々しく却下されたことは信じられなかった」と述べている。

Image: Daniel

脆弱性を CVE-2024-49193 において、最も懸念される側面は、悪用の可能性が広範囲に及ぶことである。Daniel の分析によると、この脆弱性により、攻撃者はチケット ID を推定し、多数の Zendesk インスタンスを総当たり攻撃のターゲットにできる。大半のチケット ID ではインクリメント型が採用されるため、攻撃者がチケット番号の範囲を推定すると、システムの悪用が容易に開始される。

Daniel は、「攻撃者の手順は、単純だが効果的である。攻撃者は、推定範囲内のチケットをターゲットにして、正当なアドレスを装う悪意のメールを送信する。つまり、Zendesk のメール・ コラボレーション機能を操作することで、攻撃者は任意のチケットに自分自身を追加し、その完全な履歴を盗み取れる。つまり、攻撃者は、進行中のサポート会話に実質的に参加し、機密情報を読み取ることが可能となる。こうした、なりすましメールに対する適切な保護対策を、Zendesk 講じていなかったところに、すべての問題は集約される」と強調している。

Zendesk に拒絶された Daniel は、この問題のエクスプロイトを再現し、いくつかのユーザー企業に個別に脆弱性を報告し始めた。一部の企業は迅速に対応し、Zendesk のメール・コラボレーション機能を無効化することで、このセキュリティ・ホールを塞いだ。この報告の過程で、それらの企業から Daniel は、$50,000 以上の報奨金を獲得した。しかし、そのような状況にあっても、Zendesk 自体の反応は遅かった。この脆弱性に対して、Zendesk が真剣に受け止め始めたのは、いくつかの企業が圧力をかけた後であった。

Daniel の研究により、Zendesk とユーザー企業は、セキュリティ対策を再評価せざるを得なくなった。つまり、彼の分析により、不十分なスプーフィング保護などの単純なミスが、深刻なセキュリティ・リスクの拡大につながる可能性が判明したのだ。その後に Zendesk は、セキュリティ・コミュニティから大きな反発を受け、この問題に対してパッチを適用することになった。

この記事を読む限り、Zendesk では、新たにチケットを発行する度に、専用のメール・アカウントを生成しているようです。たしかに、インシデントを整理する際に、このようなメカニズムは有効であり、便利だと感じます。その一方で、自動生成されるメール・アドレスが、インクリメントされる数値で管理されるとなると、その環境に保存されているインシデント情報に、攻撃者は容易にアクセスできるようになるはずです。もちろん、そこではスプーフィングのテクニックも必要となるでしょうが、攻撃面積も広大なものになります。とても、興味深い内容の記事ですね。よろしければ、Zendesk で検索も、ご利用ください。