概要：Zendeskの認証問題が悪用され、標的の受信箱が企業通知で溢れる

サイバー犯罪者たちは、Zendeskのチケット提出プロセスにおける脆弱性を悪用し、誤解を招くサポートメッセージの波で標的の受信箱を溢れさせています。この問題は、Zendeskが匿名リクエストを受け入れるように設定されている場合に発生し、正当な企業ドメインから発信されたかのように見えるメールフラッドを生成するために悪用される可能性があります。

攻撃の詳細：著名なブランドを装った大量の通知

今週初め、セキュリティブロガーのブライアン・クレブス氏がこのキャンペーンの標的となり、100以上の異なるZendesk顧客から数千通の高速メールアラートを受け取りました。クレブスオンセキュリティの報告によると、このフラッドには、NordVPN、CompTIA、Tinder、The Washington Post、Discord、GMAC、CapComといった有名ブランドを装った通知が含まれていました。各アラートには顧客のブランドと返信先アドレス（例：help@washpost.com）が記載されており、スパムと正規のチケット通知を区別することはほぼ不可能でした。

匿名チケット作成が悪用の温床に

Zendeskのコミュニケーションディレクターであるキャロリン・カモエンス氏によると、プラットフォームは一部の顧客が事前の認証なしにサポートリクエストを受け入れることを許可しています。企業はユーザーの利便性を高めるためにこの設定を選択する場合がありますが、これは誰でも新しいチケットを開く際に任意のメールアドレスと件名を入力できることを意味します。攻撃者は、匿名提出とチケット作成時の自動応答トリガーを組み合わせることで、独自の件名を作成し、Zendeskに顧客のドメインから確認メッセージを送信させることができます。これにより、被害者はメッセージが悪意のある行為者によって生成されたものであるにもかかわらず、正規の企業ブランドと見慣れた返信先アドレスを目にすることになります。これらのメッセージへの返信は、正規の顧客サポートの受信箱に戻り、有効なサポートケースであるかのような錯覚を広げます。

Zendeskの対応と顧客への勧告

カモエンス氏は、「当社のシステムが分散型で多対一の方法で悪用されたことを認識しています」と述べました。Zendeskは現在、追加の保護策を調査しており、顧客に対して、自動応答がトリガーされる前にユーザーがメールアドレスを確認する必要がある認証済みチケットワークフローを採用するよう助言しています。より堅牢な対策が講じられるまで、Zendeskの顧客は、匿名チケット作成をブロックするか、メール確認やCAPTCHAチャレンジなどの検証ステップを要求するように設定を調整することが強く推奨されています。

企業が取るべき対策

リクエスターの検証を怠ると、スパマーや認識された法的脅威への扉を開き、企業の評判を傷つけ、受信箱を圧倒する可能性があります。この悪用は、自動化されたサポートツールが、誤って設定された場合に、いかに嫌がらせの強力な手段となり得るかを浮き彫りにしています。Zendeskや同様のプラットフォームを使用している組織は、悪意のある者が自社のシステムを無防備な受信者に対して武器化するのを防ぐため、今すぐチケット提出ポリシーを見直すべきです。

元記事: https://gbhackers.com/attackers-exploit-zendesk-authentication-issue/