Honderden interne servicedesks van bedrijven en organisaties zijn door configuratiefouten openbaar, waardoor aanvallers allerlei aanvallen kunnen uitvoeren en toegang tot vertrouwelijke gegevens kunnen krijgen. Daarvoor waarschuwt de Belgische beveiligingsonderzoeker Inti De Ceukelaire.
Veel bedrijven maken gebruik van ticketsystemen zoals Jira en Asana voor het verwerken van verzoeken van medewerkers. Volgens De Ceukelaire is een toenemend aantal Jira-servicedesks door configuratiefouten openbaar. Hierdoor kunnen aanvallers accounts aanmaken, zich voordoen als medewerkers en allerlei verzoeken indienen. Doordat mensen vanwege de coronauitbraak thuiswerken is het lastiger om deze verzoeken te controleren, zo stelt De Ceukelaire.
De Belgische onderzoeker was benieuwd bij hoeveel bedrijven hun interne servicedesks openbaar waren. Voor zijn onderzoek maakte De Ceukelaire gebruik van een lijst met tienduizend populaire domeinnamen. Hij vond 1972 Jira-servicedesks, waarvan er 288 (15 procent) voor iedereen op internet toegankelijk waren. "Dit was een toename van twaalf procent ten opzichte van de tests die voor de coronacrisis werden uitgevoerd", merkt de onderzoeker op.
Bij sommige van deze servicedesks maakte De Ceukelaire een account aan en kon zo toegang tot allerlei ticketportals krijgen over onderwerpen als HR, informatiebeveiliging, marketing en andere zaken. Een aanvaller zou via deze portals informatie over medewerkers en klanten kunnen opvragen, multifactorauthenticatie kunnen laten resetten, declaraties indienen, database queries laten uitvoeren, code op de webserver laten uitvoeren, vpn's laten whitelisten en toegang tot interne tools en socialmediakanalen kunnen aanvragen.
Ook was het mogelijk om tickets aan andere medewerkers toe te kennen, waarbij hun e-mailadres en naam werd getoond. De Ceukelaire waarschuwde verschillende bedrijven, maar meer dan 85 procent had geen manier om op "verantwoorde wijze" kwetsbaarheden te rapporteren. Verschillende bedrijven beloonden de onderzoeker voor zijn melding, variërend van 50 dollar tot 10.000 dollar. In dit laatste geval was het mogelijk geweest om via een verzoek aan de helpdesk kwaadaardige code uit te laten voeren. Eén van de bedrijven erkende dat er naast het account van De Ceukelaire een ander ongeautoriseerd account was aangemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.