צ'קמרקס גילתה חולשה במערכת של DeskPro

חברת צ'קמרקס (Checkmarx) הישראלית חושפת חולשות אבטחה קריטיות שמצאה בפלטפורמת helpdesk של חברת דסק-פרו (DeskPro)

ארז ילון (צילום: גיא יחיאלי)

צוות החוקרים של צ'קמרקס גילה חולשה מסוג Stored XSS שמאפשרת לתוקפים להזריק קוד זדוני לאתר עצמו, ומשפיעה לא רק על המשתמש שלחץ על אותו לינק אלא על כל המשתמשים שנחשפים לאותו דף באתר (דאשבורד), גם מבלי שפתחו את הלינק. ניצול מוצלח של חולשות האבטחה עלול היה לאפשר לתוקפים לגנוב את הרשאות הניהול של הפלטפורמה וכך להשתלט לחלוטין על חשבונות של נציגי השירות (agents ב-DeskPro) ובארגונים שהם לקוחותיה.

בשלב הראשון, באמצעות גישה לחשבונות של נציג השירות (Agent) יכלו התוקפים להחליף בין היתר את כתובת האימייל של הנציג, ואז, דרך המנגנון הפשוט של "שכחתי סיסמא", לקבל סיסמא חדשה לאימייל, ולהשתלט על חשבון הנציג. חשבון כזה מכיל בין היתר את כל היסטוריות המקרים בהן טיפל. כך נפתח עבור התוקפים חלון הזדמנויות להשתלטות על חשבונות של עובדי דסק-פרו (DeskPro) ושל כל הארגונים שהחברה תומכת בהם.

בשלב שני, החולשה שחשפו בצ'קמרקס איפשרה לתוקפים להשתלט על מנהל המערכת (admin) ולגנוב session token – שמאפשר להתחבר ולהישאר מחובר לפרק זמן ספציפי בלי להחליף כל רגע את הסיסמה. ברגע שתוקף מחזיק בטוקן, כמות המידע שהוא יכול לאסוף בזמן הזה בתור אדמין היא אדירה, כולל שינוי מידע, מחיקתו, העלמת כל הדאטה בייס של היסטוריית פניות השירות שבוצעו אי פעם בארגון הלקוח, ואף השבתה מחלקת תמיכה שלמה.

"תוקף שהיה מנצל את הפרצה הזו יכול היה לגרום נזק חמור", מסביר ארז ילון, ראש המחקר במעבדות צ'קמרקס, "חולשות מסוג XSS ו-Stored XSS ממשיכות להיות אחת הבעיות הרציניות ביותר באבטחה, למרות שמדובר בחולשות מוכרות ומתועדות מאוד. סוג זה של פעילות הוא חלק מהמאמצים השוטפים שלנו להניע את השינויים הנחוצים בשיטות אבטחת התוכנה בקרב ארגונים ברחבי העולם".  

עוד הוסיף, כי פתרון אפשרי בנושא החלפת האימייל של נציג השירות הוא לבקש שוב הזדהות או אימות על ידי סיסמא לפני ביצוע כל פעולה שמוגדרת כרגישה במערכת, כגון החלפת אימייל.  זאת, בנוסף להמלצה הקבועה לארגונים, לעדכן כל פאץ' שמגיע מספק התוכנה במהירות האפשרית על מנת למנוע פרצות.

בצ'קמרקס מציינים כי מרגע שהודיעו לדסק-פרו (DeskPro) על הממצאים שחשפו, DeskPro גילתה מקצועיות וזריזות בתיקון הפרצות.

אולי יעניין אותך גם

שר הביטחון היווני ניקולאוס פנאגיוטפולוס עם יורם שמואלי מנכ״ל חטיבת כלי טיס באלביט מיד לאחר החתימה על החוזה

קרדיט אלביט מערכות

5.4 מיליארד ש"ח: נחתמה עסקת הענק הביטחונית בין משרדי הביטחון של ישראל ויוון

ההסכם בין המדינות כולל הקמה ותפעול של מרכז בינלאומי לאימוני טיסה לחיל האוויר היווני, ע"י חברת 'אלביט מערכות', למשך כ-20 שנה, בהיקף של כ-1.65 מיליארד דולר (כ-5.4 מיליארד ש"ח)