Een spoofing-kwetsbaarheid in Zendesk maakte het mogelijk voor een beveiligingsonderzoeker om op eenvoudige wijze toegang tot interne tickets en Slack-kanalen van honderden grote bedrijven te krijgen. Zendesk heeft het probleem inmiddels verholpen. Zendesk biedt een online omgeving voor klantsupport. Bedrijven kunnen een eigen e-mailadres voor klantensupport, zoals support@company.com, aan de Zendesk-omgeving koppelen.

Wanneer een klant het e-mailadres mailt genereert Zendesk automatisch een ticket, waarna een supportteam het ticket kan oppakken. Zendesk voorziet hierbij elke e-mail van een uniek ticket-ID. Ook genereert Zendesk een automatisch reply-to e-mailadres bestaand uit support+uniek ticket-ID@company.com. Dit adres zorgt ervoor dat alle communicatie aan het juiste ticket wordt toegevoegd.

Zendesk biedt ook een feature voor 'ticket collaboration'. Wanneer iemand in de CC van een e-mail reply wordt gezet, zal Zendesk deze persoon automatisch toevoegen aan het ticket, waardoor die de volledige ticketgeschiedenis in het supportportaal kan bekijken. Een aanvaller kon hier op eenvoudige wijze misbruik van maken. Als een aanvaller het support e-mailadres en ticket-ID wist, die vaak eenvoudig te raden zijn om dat deze ID's opeenvolgend zijn, kon de aanvaller zich via e-mailspoofing als de originele afzender voordoen.

De aanvaller stuurt hiervoor een fake e-mail naar support+uniek ticket-ID@company.com en voegt zijn eigen e-mailadres in de CC. Zendesk denkt dat het toegevoegde CC-adres legitiem is en geeft het e-mailadres van de aanvaller toegang tot de ticketgeschiedenis. De onderzoeker meldde het probleem bij Zendesk, maar volgens het bedrijf was de kwetsbaarheid 'out of scope'.

Slack

De onderzoeker ontdekte dat het probleem was te misbruiken om ook toegang tot de Slack-omgevingen van bedrijven te krijgen. Slack is een populaire zakelijke communicatietool waar talloze organisaties en bedrijven gebruik van maken. De Zendesk-kwetsbaarheid maakte het mogelijk om de verificatie van Slack te omzeilen. Slack laat gebruikers onder andere inloggen via een Apple-account gekoppeld aan het bedrijfsdomein. Een aanvaller kon hier misbruik van maken door eerst een Apple-account aan te maken met het e-mailadres support@company.com en de verificatiecode aan te vragen.

Apple stuurt de verificatiecode vanaf appleid@id.apple.com naar support@company.com en Zendesk creëert automatisch een ticket. De aanvaller stuurt tegelijkertijd een e-mail naar support@company.com, om zo te zien waar de nummering van unieke ticket-ID's is. Via de spoofing-bug in Zendesk stuurt de aanvaller nu een gespoofte e-mail afkomstig van appleid@id.apple.com met het geraden unieke ticket-ID en plaatst zijn eigen e-mailadres in de CC. De aanvaller krijgt nu toegang tot de Zendesk-tickets en kan de verificatiecode voor het Apple-account zien en daarmee inloggen op het Slack-kanaal van de betreffende onderneming.

De onderzoeker informeerde naar eigen zeggen meerdere bedrijven voor het probleem, wat hem 50.000 dollar aan beloningen opleverde. Uiteindelijk kwam ook Zendesk met een oplossing. Omdat de onderzoeker informatie al met Zendesk-klanten had gedeeld, wat in strijd met de regels van het bugbountyprogramma is, besloot Zendesk de onderzoeker geen beloning uit te keren.