Pesquisadores de segurança cibernética divulgaram detalhes de falhas corrigidas no software Zendesk Analytics Service com o Explore habilitado que podem ter sido exploradas por um invasor para obter acesso não autorizado a informações de contas de clientes que tenham o recurso ativado.
“Antes de ser corrigida, a falha permitia que operadores de ameaças acessassem conversas, endereços de e-mail, tíquetes, comentários e outras informações de contas do Zendesk com o Explore habilitado”, disse a Varonis em um relatório. A empresa de segurança cibernética observou, porém, que não há evidências que os problemas tenham sido explorados ativamente em ataques no mundo real. Nenhuma ação é necessária por parte dos clientes.
O Zendesk Explore é uma solução de relatórios e análises que permite que as organizações “exibam e analisem informações importantes sobre seus clientes e seus recursos de suporte”.
De acordo com a Varonis, a exploração da falha primeiro exige que um invasor se registre no serviço de tíquetes da conta Zendesk da vítima como um novo usuário externo, um recurso que provavelmente é ativado por padrão para permitir que os usuários finais enviem tíquetes de suporte.
Veja isso
Vazam 10 mil contas da Zendesk
Brecha crítica de RCE no Internet Explorer abre portas a invasores
A vulnerabilidade está relacionada a uma injeção de SQL em sua API GraphQL que pode ser explorada para exfiltrar todas as informações armazenadas no banco de dados como um usuário administrador, incluindo endereços de e-mail, tickets e conversas com agentes ativos.
Uma segunda falha diz respeito a um problema de acesso lógico associado a uma API de execução de consultas, que foi configurada para executar as consultas sem verificar se o “usuário” que fez a chamada tinha permissão adequada para fazê-lo.Varonis disse que os problemas foram divulgados à Zendesk em 30 de agosto, após o que os pontos fracos foram corrigidos pela empresa em 8 de setembro de 2022.