Zendesk Email Spoofing Flaw Let Attackers Access Support Tickets
- 취약점 개요
- Zendesk는 전 세계 주요 기업이 사용하는 고객 지원 티켓 관리 플랫폼으로, 이번 취약점은 이메일 스푸핑 공격을 통해 지원 티켓에 무단 접근할 수 있게 하는 보안 결함을 드러냄
- 이메일 협업 기능을 악용하여 공격자가 지원 티켓에 접근할 수 있었으며, 민감한 정보가 노출될 위험이 있었음
- 스푸핑 공격의 작동 방식
- 이메일 스푸핑을 통해 공격자가 Zendesk 티켓 ID를 알고 있는 경우, 해당 ID로 스푸핑된 이메일을 보내고, 자신의 이메일 주소를 CC로 추가하여 티켓에 접근 가능
- 이 과정은 비교적 간단하며, 자동화된 코드로 대규모 악용이 가능함. 예를 들어, 티켓 ID에 따른 이메일 생성 및 발송을 자동화하여 지원 티켓 내역을 확인 가능
- 초기 대응과 수정 조치
- 버그 바운티 프로그램을 통해 취약점이 보고되었으나, HackerOne의 제3자 평가 서비스에서 "범위 외"로 분류하여 처음에는 무시됨
- 그러나 일부 기업이 취약점에 대응해 Zendesk의 이메일 협업 기능을 비활성화하면서 Zendesk에 대한 압박이 커짐
- 결국 Zendesk는 스팸 필터 강화 및 의심스러운 이메일 차단 등 보안 패치를 시행
- 확장된 취약점 영향
- 이 취약점은 Slack 워크스페이스 등 다른 시스템에도 악영향을 줄 수 있었음
- 공격자가 회사의 SSO(싱글 사인온) 시스템과 Apple OAuth 로그인을 악용하여 Slack 계정에 접근할 수 있었음
- 이러한 상호 연결된 시스템 간 보안 취약점은 작은 결함도 광범위한 영향을 미칠 수 있음을 보여줌
- 결론
- Zendesk는 보안 조치를 시행했지만, 연구자는 Zendesk로부터 버그 바운티를 받지 못했으며, 대신 취약점을 경고해준 기업들로부터 $50,000 이상의 보상을 받음
- 이 사건은 타사 툴의 보안성이 기업의 전반적인 보안에 미치는 중요성을 강조하며, 기업은 통합된 시스템에서 발생할 수 있는 취약점을 사전에 점검하고, 철저한 보안 검증 프로세스를 갖출 필요가 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
현대오토에버, 커넥티드카 보안 강화 위한 조직 확대 (1) | 2024.11.27 |
---|---|
API 타깃 사이버 공격 증가와 자동화된 공격 위협 (0) | 2024.11.27 |
네이버 AI 뉴스 추천 서비스의 개인정보 활용 논란 (1) | 2024.11.26 |
안드로이드 사용자들을 위한 새로운 도난 방지 기능 (0) | 2024.11.25 |
은행의 생성형 AI 활용과 디지털 혁신 (0) | 2024.11.25 |