נחשפו חולשות אבטחה קריטיות בפלטפורמת helpdesk של חברת דסק-פרו DeskPro
מאת:
מערכת Telecom News, 11.2.21, 16:40
חולשות מסוג XSS ו-Stored XSS ממשיכות להיות אחת הבעיות הרציניות ביותר באבטחה בארגונים, למרות שמדובר בחולשות מוכרות ומתועדות מאוד.
פלטפורמת
helpdesk של חברת דסק-פרו (
DeskPro) מסייעת לאלפי ארגונים לתקשר עם מיליוני לקוחותיהם ברחבי העולם ולספק להם שירותי תמיכה באמצעות דוא"ל, צ'ט (
live chat), שיחות קוליות, מדיה חברתית ועוד. בין לקוחותיה,
חברות ענק גלובליות. עם המעבר לעבודה מרחוק בזמן הקורונה, התרחב השימוש בפלטפורמות מסוג זה, שבאופן טבעי נחשפות למידע רגיש.
צוות החוקרים של חברת
צ'קמרקס (
Checkmarx) הישראלית גילה חולשה מסוג
Stored XSS המאפשרת לתוקפים להזריק קוד זדוני לאתר עצמו, ומשפיעה לא רק על המשתמש, שלחץ על אותו לינק, אלא על כל המשתמשים הנחשפים לאותו דף באתר (דאשבורד), גם מבלי שפתחו את הלינק.
ניצול מוצלח של חולשות האבטחה עלול היה לאפשר לתוקפים לגנוב את הרשאות הניהול של הפלטפורמה וכך להשתלט לחלוטין על חשבונות של נציגי השירות ב-
DeskPro ובארגונים, שהם לקוחותיה.
בשלב הראשון, באמצעות גישה לחשבונות של נציג השירות (
Agent) יכלו התוקפים להחליף, בין היתר, את כתובת האימייל של הנציג, ואז, דרך המנגנון הפשוט של "שכחתי סיסמא", לקבל סיסמא חדשה לאימייל, ולהשתלט על חשבון הנציג.
חשבון כזה מכיל, בין היתר, את כל היסטוריות המקרים בהן טיפל. כך, נפתח עבור התוקפים חלון הזדמנויות להשתלטות על חשבונות של עובדי דסק-פרו (
DeskPro) ושל כל הארגונים שהחברה תומכת בהם.
בשלב שני, החולשה שחשפו בצ'קמרקס איפשרה לתוקפים להשתלט על מנהל המערכת (
admin) ולגנוב
session token – שמאפשר להתחבר ולהישאר מחובר לפרק זמן ספציפי בלי להחליף כל רגע את הסיסמה.
ברגע ,שתוקף מחזיק בטוקן, כמות המידע, שהוא יכול לאסוף בזמן הזה בתור אדמין היא אדירה, כולל שינוי מידע, מחיקתו, העלמת כל הדאטה בייס של היסטוריית פניות השירות, שבוצעו אי פעם בארגון הלקוח, ואף השבתה מחלקת תמיכה שלמה.
בצ'קמרקס מציינים, שמרגע שהודיעו לדסק-פרו (
DeskPro) על הממצאים שחשפו,
DeskPro גילתה מקצועיות וזריזות בתיקון הפרצות.
ארז ילון, (בתמונה משמאל), ראש המחקר במעבדות צ'קמרקס: "תוקף, שהיה מנצל את הפרצה הזו יכול היה לגרום נזק חמור. חולשות מסוג
XSS ו-
Stored XSS ממשיכות להיות אחת הבעיות הרציניות ביותר באבטחה, למרות שמדובר בחולשות מוכרות ומתועדות מאוד.
פתרון אפשרי בנושא החלפת האימייל של נציג השירות הוא לבקש שוב הזדהות או אימות ע"י סיסמא לפני ביצוע כל פעולה המוגדרת כרגישה במערכת, כגון החלפת אימייל. זאת, בנוסף להמלצה הקבועה לארגונים, לעדכן כל פאץ' המגיע מספק התוכנה במהירות האפשרית כדי למנוע פרצות".
צילום תמונה משמאל: גיא יחיאלי