צ'קמרקס גילתה חולשה במערכת של DeskPro

חברת צ'קמרקס (Checkmarx) הישראלית חושפת חולשות אבטחה קריטיות שמצאה בפלטפורמת helpdesk של חברת דסק-פרו (DeskPro)

ארז ילון (צילום: גיא יחיאלי)

צוות החוקרים של צ'קמרקס גילה חולשה מסוג Stored XSS שמאפשרת לתוקפים להזריק קוד זדוני לאתר עצמו, ומשפיעה לא רק על המשתמש שלחץ על אותו לינק אלא על כל המשתמשים שנחשפים לאותו דף באתר (דאשבורד), גם מבלי שפתחו את הלינק. ניצול מוצלח של חולשות האבטחה עלול היה לאפשר לתוקפים לגנוב את הרשאות הניהול של הפלטפורמה וכך להשתלט לחלוטין על חשבונות של נציגי השירות (agents ב-DeskPro) ובארגונים שהם לקוחותיה.

בשלב הראשון, באמצעות גישה לחשבונות של נציג השירות (Agent) יכלו התוקפים להחליף בין היתר את כתובת האימייל של הנציג, ואז, דרך המנגנון הפשוט של "שכחתי סיסמא", לקבל סיסמא חדשה לאימייל, ולהשתלט על חשבון הנציג. חשבון כזה מכיל בין היתר את כל היסטוריות המקרים בהן טיפל. כך נפתח עבור התוקפים חלון הזדמנויות להשתלטות על חשבונות של עובדי דסק-פרו (DeskPro) ושל כל הארגונים שהחברה תומכת בהם.

בשלב שני, החולשה שחשפו בצ'קמרקס איפשרה לתוקפים להשתלט על מנהל המערכת (admin) ולגנוב session token – שמאפשר להתחבר ולהישאר מחובר לפרק זמן ספציפי בלי להחליף כל רגע את הסיסמה. ברגע שתוקף מחזיק בטוקן, כמות המידע שהוא יכול לאסוף בזמן הזה בתור אדמין היא אדירה, כולל שינוי מידע, מחיקתו, העלמת כל הדאטה בייס של היסטוריית פניות השירות שבוצעו אי פעם בארגון הלקוח, ואף השבתה מחלקת תמיכה שלמה.

"תוקף שהיה מנצל את הפרצה הזו יכול היה לגרום נזק חמור", מסביר ארז ילון, ראש המחקר במעבדות צ'קמרקס, "חולשות מסוג XSS ו-Stored XSS ממשיכות להיות אחת הבעיות הרציניות ביותר באבטחה, למרות שמדובר בחולשות מוכרות ומתועדות מאוד. סוג זה של פעילות הוא חלק מהמאמצים השוטפים שלנו להניע את השינויים הנחוצים בשיטות אבטחת התוכנה בקרב ארגונים ברחבי העולם".  

עוד הוסיף, כי פתרון אפשרי בנושא החלפת האימייל של נציג השירות הוא לבקש שוב הזדהות או אימות על ידי סיסמא לפני ביצוע כל פעולה שמוגדרת כרגישה במערכת, כגון החלפת אימייל.  זאת, בנוסף להמלצה הקבועה לארגונים, לעדכן כל פאץ' שמגיע מספק התוכנה במהירות האפשרית על מנת למנוע פרצות.

בצ'קמרקס מציינים כי מרגע שהודיעו לדסק-פרו (DeskPro) על הממצאים שחשפו, DeskPro גילתה מקצועיות וזריזות בתיקון הפרצות.

אולי יעניין אותך גם

אריאל חרמוני | משרד הביטחון 

דעה | האם יש כשלים במנגנון הפיקוח על הייצוא של משרד הביטחון?

הגיע הזמן ליצור מנגנון שלא יהסס לאסור על חברה למכור תוכנת מעקב,  מזל"ט או מכ"ם למדינה או לשליט שמשטרו אינו עומד במבחן מינימלי של דמוקרטיה וערכים מערביים מקובלים. דן ארקין מטיל ספק במנגנון הפיקוח על הייצוא של משרד הביטחון