{"id":465210,"date":"2022-11-15T22:38:45","date_gmt":"2022-11-16T00:38:45","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-ont-signale-des-failles-critiques-de-sqli-et-dacces-dans-le-service-zendesk-analytics\/"},"modified":"2022-11-15T22:38:46","modified_gmt":"2022-11-16T00:38:46","slug":"des-chercheurs-ont-signale-des-failles-critiques-de-sqli-et-dacces-dans-le-service-zendesk-analytics","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-ont-signale-des-failles-critiques-de-sqli-et-dacces-dans-le-service-zendesk-analytics\/","title":{"rendered":"Des chercheurs ont signal\u00e9 des failles critiques de SQLi et d&#8217;acc\u00e8s dans le service Zendesk Analytics"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 des d\u00e9tails sur des failles d\u00e9sormais corrig\u00e9es dans Zendesk Explore qui auraient pu \u00eatre exploit\u00e9es par un attaquant pour obtenir un acc\u00e8s non autoris\u00e9 aux informations des comptes clients dont la fonctionnalit\u00e9 est activ\u00e9e.<\/p>\n<p>&#8220;Avant qu&#8217;elle ne soit corrig\u00e9e, la faille aurait permis aux acteurs de la menace d&#8217;acc\u00e9der aux conversations, aux adresses e-mail, aux tickets, aux commentaires et \u00e0 d&#8217;autres informations des comptes Zendesk avec Explore activ\u00e9&#8221;, Varonis <a rel=\"nofollow noopener\" href=\"https:\/\/www.varonis.com\/blog\/zendesk-sql-injection-and-access-flaws\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 qu&#8217;il n&#8217;y avait aucune preuve sugg\u00e9rant que les probl\u00e8mes \u00e9taient activement exploit\u00e9s dans des attaques r\u00e9elles.  Aucune action n&#8217;est requise de la part des clients.<\/p>\n<p>Zendesk Explore est un <a rel=\"nofollow noopener\" href=\"https:\/\/support.zendesk.com\/hc\/en-us\/articles\/4408846357018-Zendesk-Explore-resources-for-reporting-and-analytics\" target=\"_blank\">solution de reporting et d&#8217;analyse<\/a> qui permet aux organisations de &#8220;visualiser et analyser des informations cl\u00e9s sur vos clients et vos ressources d&#8217;assistance&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Service d'analyse Zendesk\" border=\"0\" data-original-height=\"693\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668559124_883_Des-chercheurs-ont-signale-des-failles-critiques-de-SQLi-et.jpg\" title=\"Service d'analyse Zendesk\"\/><\/div>\n<p>Selon la soci\u00e9t\u00e9 de logiciels de s\u00e9curit\u00e9, l&#8217;exploitation de la faille n\u00e9cessite d&#8217;abord qu&#8217;un attaquant s&#8217;enregistre sur le <a rel=\"nofollow noopener\" href=\"https:\/\/developer.zendesk.com\/api-reference\/ticketing\/tickets\/tickets\/\" target=\"_blank\">billetterie<\/a> du compte Zendesk de sa victime en tant que nouvel utilisateur externe, une fonctionnalit\u00e9 qui est probablement activ\u00e9e par d\u00e9faut pour permettre aux utilisateurs finaux de soumettre des tickets d&#8217;assistance.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 concerne une injection SQL dans son API GraphQL qui pourrait \u00eatre exploit\u00e9e pour exfiltrer toutes les informations stock\u00e9es dans la base de donn\u00e9es en tant qu&#8217;utilisateur administrateur, y compris les adresses e-mail, les tickets et les conversations avec des agents en direct.<\/p>\n<div class=\"ad_two clear\"><img class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Le-service-de-phishing-de-Robin-Banks-pour-les-cybercriminels.gif\" decoding=\"async\" fetchpriority=\"low\" style=\"float:left\"\/><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Google-va-payer-une-amende-de-391-millions-de-dollars.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Une deuxi\u00e8me faille concerne un probl\u00e8me d&#8217;acc\u00e8s logique associ\u00e9 \u00e0 une API d&#8217;ex\u00e9cution de requ\u00eates, qui \u00e9tait configur\u00e9e pour ex\u00e9cuter les requ\u00eates sans v\u00e9rifier si &#8220;l&#8217;utilisateur&#8221; effectuant l&#8217;appel disposait des autorisations ad\u00e9quates pour le faire.<\/p>\n<p>&#8220;Cela signifiait qu&#8217;un utilisateur final nouvellement cr\u00e9\u00e9 pouvait invoquer cette API, modifier la requ\u00eate et voler des donn\u00e9es de n&#8217;importe quelle table dans le RDS du compte Zendesk cible, aucun SQLi requis&#8221;, <\/p>\n<p>Varonis a d\u00e9clar\u00e9 que les probl\u00e8mes avaient \u00e9t\u00e9 divulgu\u00e9s \u00e0 Zendesk le 30 ao\u00fbt, apr\u00e8s quoi les faiblesses avaient \u00e9t\u00e9 corrig\u00e9es par la soci\u00e9t\u00e9 le 8 septembre 2022.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/researchers-reported-critical-sqli-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 des d\u00e9tails sur des failles d\u00e9sormais corrig\u00e9es dans Zendesk Explore qui auraient pu \u00eatre exploit\u00e9es par un attaquant pour obtenir un acc\u00e8s non autoris\u00e9 aux informations des comptes clients dont la fonctionnalit\u00e9 est activ\u00e9e. &#8220;Avant qu&#8217;elle ne soit corrig\u00e9e, la faille aurait permis aux acteurs de la menace d&#8217;acc\u00e9der [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":465211,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[69605,12848,4168,5729,4158,4165,4161,7192,429,133,4806,4157,4159,4171,4170,4167,4160,4163,4162,249,4172,4169,2314,5520,124793,4166,4164,124794],"class_list":["post-465210","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-analytics","tag-chercheurs","tag-comment-pirater","tag-critiques","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dacces","tag-dans","tag-des","tag-failles","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ont","tag-securite-informatique","tag-securite-internet","tag-service","tag-signale","tag-sqli","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-zendesk"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/465210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=465210"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/465210\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/465211"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=465210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=465210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=465210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}