Slack Bug Allowed Automating Account Takeover Attacks

พบช่องโหว่บน Slack อนุญาตให้ผู้โจมตีสามารถครอบครองบัญชีได้อัตโนมัติ

Evan Custodio นักวิจัยด้านความปลอดภัยบนเว็บและนักล่าเงินรางวัลได้เผยช่องโหว่บน Slack ให้ทีมรักษาความปลอดภัยของเว็บไซต์ HackerOne bug Bounty เมื่อวันที่ 14 พฤศจิกายน

ช่องโหว่เป็นข้อบกพร่องด้านความปลอดภัยที่อนุญาตให้ผู้โจมตีทำการครอบครองบัญชีโดยอัตโนมัติหลังจากขโมย Cookie Session โดยใช้การร้องขอ HTTP Smuggling CL.TE

HTTP Request Smuggling เป็นการโจมตีซึ่งอาศัยปัญหาของเว็บแอปพลิเคชันซึ่งตีความ HTTP Request ที่เข้ามาแตกต่างกันระหว่างคอมโพเนนต์ซึ่งเป็น Frontend และ Backend การโจมตี HTTP Request Smuggling อาศัยการควบคุมการตั้งค่าในเฮดเดอร์ Transfer-Encoding (TE) และ Content-Length (CL) เพื่อให้เกิดเงื่อนไขที่เหมาะสมให้การโจมตีสำเร็จได้

ดังนั้นการโจมตีบน https://slackb.

Zendesk เปิดเผยเหตุการณ์ข้อมูลหลุดตั้งแต่ปี 2016 กระทบผู้ใช้งานกว่าหมื่นคน

 

ในปี 2016 Zendesk ซึ่งเป็นบริษัททำซอฟต์แวร์ customer service เกิดเหตุการณ์ข้อมูลหลุดกระทบผู้ใช้งานกว่า 10,000 ราย ซึ่ง Zendesk ถูกใช้โดยหลายองค์กรหลักทั่วโลก รวมถึง Uber Shopify Airbnb และ Slack

ในวันที่ 2 ตุลาคม 2019 Zendesk ได้ออกแถลงการณ์เปิดเผยเหตุการณ์ดังกล่าวว่าได้รับแจ้งจากบุคคลภายนอกรื่องความปลอดภัยที่อาจมีผลต่อ Zendesk Support ผลิตภัณฑ์การแชท และบัญชีลูกค้าของผลิตภัณฑ์เหล่านั้นที่เปิดใช้งานก่อนพฤศจิกายน 2016 กระทบผู้ใช้งานกว่าหมื่นคน

ข้อมูลที่อาจถูกเข้าถึงโดยผู้โจมตีได้แก่ Agent และชื่อผู้ใช้งานที่ถูก hash และ salt, ข้อมูลติดต่อ, Username, รหัสผ่านที่ถูก hash และ salt, Transport Layer Security (TLS) encryption keys และข้อมูลการตั้งค่าแอปที่ลงผ่าน Zendesk app marketplace

พวกเขาตัดสินใจแจ้งผลกระทบทั้งหมดต่อผู้ใช้และแนะนำให้ทำตามขั้นตอนดังนี้

หากคุณติดตั้ง Zendesk Marketplace หรือแอปส่วนบุคคลที่ใช้งานตั้งแต่วันที่ 1 พฤศจิการยน 2016 ที่บันทึกข้อมูลประจำตัวพิสูจน์ตัวตน เช่น API keys หรือ รหัสผ่านขณะติดตั้ง เราแนะนำให้คุณเปลี่ยนข้อมูลประจำตัวสำหรับแอปที่เกี่ยวข้อง

นอกจากนี้หากคุณอัปโหลด TLS certificate ใน Zendesk ก่อนวันที่ 1 พฤศจิกายน 2016 ที่ยังคงใช้ได้อยู่ เราแนะนำให้คุณอัปโหลด certificate ใหม่และยกเลิกตัวเก่า

โดยบัญชีที่มีการใช้งานอยู่และสร้างบัญชีก่อนวันที่ 1 พฤศจิกายน 2016 ควรต้องเปลี่ยนรหัสผ่าน

ที่มา : securityaffairs