Falla en el Zendesk Explore permitía el robo de datos de conversaciones. Un nuevo informe de Varonis apuntó vulnerabilidades en el software, uno de los más utilizados en el mundo para la atención de clientes; la falla ya fue corregida
Lima, Perú, 21 de noviembre del 2022.— Investigadores de Varonis divulgaron el descubrimiento de una vulnerabilidad que permite la inyección de código en el SQL, y una falla en el acceso lógico del Zendesk Explore, el servicio de generación de informes de Zendesk —una de las aplicaciones más usadas en el mundo para la atención a clientes. La divulgación ocurrió el pasado martes 15 de noviembre y fue corregida el mismo día por la fabricante.
Antes de corregirla, la falla permitía que los invasores accedieran a conversaciones, direcciones de e-mail, tickets, comentarios y otras informaciones de cuentas del Zendesk con el Explore activado.
Para explotar la vulnerabilidad, un invasor primero necesitaba registrarse en el servicio de emisión de tickets de la cuenta de Zendesk de su víctima como un nuevo usuario externo. El registro se activa por default porque muchos clientes de Zendesk dependen de usuarios finales que envíen tickets de soporte directamente por la red.
Anatomía del ataque
Zendesk usa varias API GraphQL en sus productos, especialmente en la consola de administración. Como el GraphQL es un formato de API relativamente nuevo, los investigadores de Varonis iniciaron su estudio de las API —y encontraron un campo en una de las API que permitía el input simple de textos XML— aunque la mayor parte de las informaciones (traficando en XML) estuviera codificada con el método Base64— utilizado para la transmisión de archivos por Internet.
El documento XML encontrado sin la codificación Base64 define la relación entre un banco de datos relacional administrado en AWS y otros documentos de consulta de la base de datos. Debido a esto, la vulnerabilidad permitía un ataque vía inyección SQL.
Falla en el acceso lógico
A partir de esta falla, los investigadores de Varonis descubrieron que el método de dicha API de ejecución de consulta termina mostrando qué datos se podrían descubrir en el banco de dados. Además de esto, la API no verificaba la integridad de los documentos enviados, permitiendo que los especialistas los alteraran, de tal manera que expusiera el funcionamiento interno del sistema.
De forma más crítica, el endpoint de la API no verificó si el llamador tenía autorización para ingresar al banco de datos y ejecutar consultas. Esto significaba que un usuario final recién creado podría invocar tal API, alterar la consulta y robar datos.
Con el descubrimiento y la notificación a Zendesk, la empresa corrigió rápidamente las fallas, y ninguna acción necesitó ser tomada por parte de los clientes.
Apoya al Periodismo Independiente
¿Te sirvió en algo este contenido?, ayúdanos a combatir la Desinformación, dona desde S/ 1.00 a nuestro Yape 943-438-457
Impactos: 35
Para comentar debe estar registrado.