Se ha descubierto una vulnerabilidad de seguridad crítica en la implementación de SDK de Android de Zendesk que permite a los atacantes realizar adquisiciones de cuentas masivas sin ninguna interacción del usuario.
El defecto, que obtuvo un pago de recompensa de errores de $ 3,000, proviene de mecanismos de generación de token predecibles que permiten el acceso no autorizado a todos los boletos de soporte de Zendesk en las organizaciones afectadas.
Control de llave
1.
2. Los atacantes pueden generar tokens en masa sin límites de velocidad para acceder a todos los boletos y datos.
3. Arregle utilizando secretos de alta entropía, límites de velocidad de aplicación y auditoría de autores móviles.
La vulnerabilidad explota una debilidad fundamental en cómo el SDK de Zendesk Android genera tokens de autenticación, combinando secretos codificados con ID de cuenta secuencial para crear tokens JWT predecibles.
Esta falla de diseño permite a los actores maliciosos generar sistemáticamente tokens de autenticación válidos para cualquier cuenta de usuario sin requerir ninguna forma de interacción del usuario o ingeniería social.
Vulnerabilidad de adquisición de cuentas
Equipo de VooreVex informes que la vulnerabilidad se encuentra dentro del método zendeskhelper.g (), que implementa un algoritmo de generación de token defectuoso. El método crea tokens de autenticación utilizando una fórmula predecible:
El proceso de generación de tokens sigue estos pasos:
Construcción de cadena base: redacted- {cuentaid}-{hardcodedsecret} sha-1 hash generación: la cadena base se procesa a través del formato de token final de hash sha-1: {AccountID} _ {Sha1hash}
El defecto crítico surge de dos debilidades clave: el uso de un secreto estático codificado (987SDASDLKJLAKDJF) que permanece constante en todas las instalaciones e ID de cuenta secuencial (getRemoteID ()) que se pueden enumerar fácilmente.
Esta combinación crea un escenario en el que los atacantes pueden generar tokens de autenticación válidos para cualquier usuario simplemente iterando a través de rangos de ID de cuenta.
El flujo de autenticación envía solicitudes de publicación a/access/sdk/jwt puntos finales:
El servidor responde con un Access_Token válido que otorga acceso total al entorno de soporte de Zendesk de la víctima, incluida la capacidad de leer todos los boletos, enviar nuevas solicitudes y realizar cualquier acción disponible a través de la interfaz de soporte.
La vulnerabilidad permite ataques de adquisición de cuentas de masa de clic cero a través de la generación y validación sistemática de token.
Los atacantes pueden implementar scripts automatizados para iterar a través de los rangos de ID de cuenta, generar tokens correspondientes y validarlos contra los puntos finales de Zendesk sin activar los mecanismos de limitación de la tasa o bloqueo de la cuenta.
La explotación exitosa otorga a los atacantes acceso a:
Historial de boletos completos que contienen comunicaciones confidenciales de la información identificable personal de los clientes (PII) dentro de las conversaciones de soporte Comunicaciones internas Comunicaciones y procedimientos de soporte Patrones de quejas de clientes y datos de inteligencia de negocios
La vulnerabilidad afecta a cualquier organización utilizando el SDK de Android de Zendesk para la integración de soporte móvil, lo que puede afectar a miles de empresas en todo el mundo.
Este defecto crítico demuestra los riesgos de seguridad graves asociados con los mecanismos de autenticación predecibles y destaca la importancia de implementar sistemas de generación de tokens sólidos y pruebas de seguridad integrales en todo el ciclo de vida del desarrollo de aplicaciones móviles.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
