Deskpro XSS-Schwachstellen können Admin-Sitzungen entführen und Helpdesk-Agenten-Konten übernehmen

  • Hacker könnten Cross-Site-Scripting (XSS)-Schwachstellen in der beliebten Helpdesk-Plattform Deskpro ausgenutzt haben, um die Sitzungen von Administratoren zu kapern und die Konten von Helpdesk-Agenten zu übernehmen.

    Dadurch hätten die Angreifer die gleichen Rechte wie Admins und Agenten in Bezug auf die auszuführenden Aktionen oder die Informationen, denen sie ausgesetzt sind, heißt es in einem Blog der Checkmarx-Forscher, die die Schwachstelle bei einer Überprüfung der Plattform gefunden haben. In bestimmten Fällen hätten Angreifer den gesamten Helpdesk zurücksetzen können, wodurch alle Systemdaten gelöscht worden wären.

    In Anbetracht der zunehmenden Verlagerung der Arbeit auf entfernte Standorte und der Notwendigkeit von Helpdesk-Software, die die Zusammenarbeit von entfernten Teams ermöglicht, überprüfte Checkmarx die Sicherheit von Deskpro im Rahmen des Bug-Bounty-Programms des Unternehmens. Laut den Checkmarx-Forschern können Angreifer das Problem auf zwei Arten ausnutzen:

    Administrator-Session-Hijacking. Diese Schwachstelle hatte einen CVSS-Score von 8.8, was Sicherheitsexperten als hoch einstufen. Das Problem wurde in der Deskpro-Version 2020.2.9 gefunden, die in einem Docker-Container unter Verwendung des offiziellen Deskpro-Docker-Images läuft. Dennoch betrifft das zugrunde liegende Problem – eine gespeicherte XSS-Schwachstelle – auch die Cloud-Version. Böswillige Benutzer können beliebigen Code im Browser des Opfers ausführen, um das Session-Token zu exfiltrieren. Mit dem Token in der Hand könnten böswillige Benutzer die Sitzungen der Opfer kapern und Aktionen in deren Namen ausführen.

    Agenten-Kontoübernahme. Diese Sicherheitsanfälligkeit wurde mit einem CVSS-Score von 8.1 bewertet, was ebenfalls als hoch eingestuft wird. Das Problem wurde in Deskpro 2020.2.9 gefunden, das in einem Docker-Container unter Verwendung des offiziellen Deskpro-Docker-Images läuft. Auch in diesem Fall betrifft die gespeicherte XSS-Schwachstelle die Cloud-Version. Böswillige Benutzer können beliebigen Code im Browser des Opfers ausführen, wodurch sie das Konto des Opfers übernehmen können.

    Dieser Fund beweist erneut, dass es so etwas wie fehlerfreien Code nicht gibt, sagte Dirk Schrader, Global Vice President bei New Net Technologies. Deskpro hat schnell auf Checkmarx reagiert und das Problem behoben, sagte er, während er um eine 90-tägige Sperrfrist bat, die seiner Meinung nach angemessen war, um die Mehrheit der Installationen zu patchen.

    “Wie üblich werden Angreifer diejenigen finden, die den Ruf nicht gehört haben”, sagte Schrader. “Die Kontrolle aller Änderungen an Ihrer Umgebung stellt sicher, dass unerwünschte Änderungen erkannt werden, und das regelmäßige Scannen nach Schwachstellen mit einem aktuellen Scanner stellt sicher, dass – sollte der Aufruf zum Patchen verpasst worden sein – ein weiterer Alarm ausgelöst wird.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com