Zendeskの認証問題が悪用され、大量のスパム通知が発生

サイバー犯罪者がZendeskのチケット提出プロセスにおける脆弱性を発見し、これを悪用して誤解を招くサポートメッセージの波で被害者を攻撃しています。匿名リクエストを受け入れるように設定されている場合、このサービスは正当な企業ドメインから発信されているように見えるメールの洪水を引き起こすために悪用される可能性があります。

今週初め、セキュリティブロガーのブライアン・クレブス氏がこのキャンペーンの標的となり、100以上の異なるZendesk顧客から数千通の高速メールアラートを受け取りました。KrebsOnSecurityの報告によると、この洪水にはNordVPN、CompTIA、Tinder、The Washington Post、Discord、GMAC、CapComなどの有名ブランドから送られたとされる通知が含まれていました。各アラートには顧客のブランドと返信先アドレスが記載されており、スパムと正規のチケット通知を区別することはほぼ不可能でした。

匿名チケット作成による大規模ななりすまし

Zendeskの広報担当者であるキャロリン・カモエンス氏によると、プラットフォームは一部の顧客が事前の認証なしにサポートリクエストを受け入れることを許可しています。彼女は「これらの種類のサポートチケットは、事前の認証が不要な顧客のワークフローの一部であり、サポート機能を利用できるようにするためのものです」と説明しました。

企業はユーザーの摩擦を減らすためにこの設定を選択する場合がありますが、これは誰でも新しいチケットを開く際に任意のメールアドレスと件名を設定できることを意味します。匿名での提出とチケット作成時の自動応答トリガーを組み合わせることで、攻撃者は独自の件名を作成し、Zendeskに顧客のドメインから確認メッセージを送信させることができます。被害者は、メッセージが悪意のある行為者によって生成されたものであるにもかかわらず、正規の企業ブランドとhelp@washpost.comのような見慣れた返信先アドレスを目にすることになります。これらのメッセージへの返信は正規の顧客サポートの受信箱に戻り、有効なサポートケースであるという錯覚を広げます。

Zendeskの対応と推奨事項

カモエンス氏は「当社のシステムが分散型の一対多の形で悪用されたことを認識しています」と述べました。Zendeskは現在、追加の保護策を調査しており、顧客に対して、自動応答がトリガーされる前にユーザーがメールアドレスを確認する必要がある認証済みチケットワークフローを採用するよう助言しています。

より堅牢な対策が講じられるまで、Zendeskの顧客は、匿名チケット作成をブロックするか、メール確認やCAPTCHAチャレンジなどの検証手順を要求するように設定を調整することが強く推奨されます。リクエスターの検証を怠ると、スパマーや法的な脅威と認識されるものに対して門戸を開き、企業の評判を傷つけ、受信箱を圧倒する可能性があります。この悪用は、自動化されたサポートツールが誤って設定された場合、いかに嫌がらせの強力な手段になり得るかを浮き彫りにしています。

Zendeskや同様のプラットフォームを使用している組織は、自社のシステムが疑いを持たない受信者に対して悪用されるのを防ぐため、チケット提出ポリシーを今すぐ見直すべきです。

元記事: https://gbhackers.com/attackers-exploit-zendesk-authentication-issue/