Referência Insegura e Direta a Objeto (IDOR) afeta Help Desk (SysAid) - CVE-2023-33706

Nota esclarecedora

A PRIDE Security não oferece garantia às informações contidas neste documento e não assume responsabilidade por quaisquer erros que possam estar presentes. Em nenhum caso a PRIDE Security ou qualquer um dos seus parceiros será responsável por danos decorrentes do uso das informações aqui descritas. A PRIDE Security se reserva o direito de alterar ou atualizar este conteúdo sem aviso prévio a qualquer momento.

Sobre a fabricante

Fundada em 2002, a SysAid Technologies atende a mais de 100.000 organizações espalhadas por 140 países. Com soluções adaptáveis, a empresa atende tanto PMEs quanto organizações listadas na Fortune 500, evidenciando a versatilidade de seus produtos.

Site: https://www.sysaid.com/

Sobre o produto

O SysAid Help Desk é uma plataforma desenvolvida pela SysAid Technologies que concentra diversas funcionalidades essenciais para a gestão de TI. Entre suas funcionalidades destacam-se: uma ferramenta de gerenciamento de tíquetes, um sistema para controle de ativos de TI, opções de autoatendimento, recursos de redefinição de senha, aplicativos otimizados para dispositivos móveis, ferramentas de benchmarking do setor e muito mais.

Site: https://www.sysaid.com/it-service-management-software/help-desk-software

Versões confirmadas como vulneráveis

SysAid Help Desk On-Premise: Versão 22.3.35b e inferiores.
SysAid Help Desk Cloud: Versão 23.2.20b39 e inferiores.

Resumo

Em abril de 2023, a PRIDE Security identificou uma vulnerabilidade no SysAid Help Desk, uma ferramenta de gerenciamento de tíquetes da SysAid Technologies. Esta falha de segurança pode dar a invasores acesso a todos os tíquetes, revelando dados sensíveis e interações entre requisitantes e os usuários administrativos (níveis N2 e N3), responsáveis por avaliar problemas e elaborar soluções.

CVE-2023-33706: Referência Insegura e Direta a Objeto (IDOR)

O SysAid Help Desk permite que qualquer usuário com uma conta válida na plataforma abra e acompanhe tíquetes, troque mensagens e forneça informações adicionais, se necessário.

Quando um tíquete é aberto, o administrador, seja de segundo (N2) ou terceiro nível (N3), possui uma variedade de ferramentas para sua gestão eficaz. Isso inclui a opção de solicitar informações adicionais do requisitante (usuário que abriu o tíquete), facilitando assim uma resolução mais precisa do problema. Adicionalmente, no painel administrativo, é possível acessar todo o histórico de mensagens entre o requisitante e o administrador, permitindo um acompanhamento da interação. Vale ressaltar que podem existir diversos administradores atendendo diferentes instituições. Estes não têm acesso a todos os tíquetes de todas as instituições, mas apenas aos tíquetes específicos da instituição à qual estão vinculados.

Ao selecionar a opção “Abrir todas” na guia “Mensagens” de um tíquete específico, o endpoint abaixo é requisitado e, assim, o requisitante pode visualizar o histórico completo de mensagens trocadas com o administrador ao longo da interação com o tíquete.

  • GET /EmailHtmlSourceIframe.jsp?sid={ID}&showHeadSeparator=false&msgId={BASE64}

No entanto, antes da plataforma efetuar a requisição ao endpoint previamente mencionado, uma outra requisição é executada para o endpoint abaixo. Este último apresenta uma vulnerabilidade conhecida como Referência Insegura e Direta a Objeto (IDOR).

  • GET /ShowMessage.jsp?srID={ID}&allMsg=yes&autoMsg=true&notAddingIndexJSP=true

Essa solicitação permite que, antes de exibir os tíquetes na tela, haja a possibilidade de modificar o valor informado no parâmetro “srID”, que representa o identificador numérico do tíquete. Com essa alteração, torna-se possível acessar mensagens que pertencem a outros usuários da plataforma. A capacidade de enumerar dados está restrita à quantidade de tíquetes que foram abertos.

Exemplo - Requisição via HTTPS:

GET /ShowMessage.jsp?srID={ID}&allMsg=yes&autoMsg=true&notAddingIndexJSP=true HTTP/2
Host: helpdesk.redacted.com
Cookie: JSESSIONID={COOKIE}; accountId={ACCOUNT}; rememberMe=Y; userType=ad00;
communityUserName={BASE64}; communityUserHash={BASE64}
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0)

A seguir, é apresentada a resposta via HTTPS exibida no navegador. O parâmetro “sid” contém o identificador do tíquete (ex: 123). Já o conteúdo do Base64 refere-se a cada mensagem trocada dentro do tíquete, entre o usuário requisitante e os administradores (N2 ou N3).

Exemplo - Resposta via HTTPS (abreviada):

HTTP/2 200 OK
Content-Type: text/html;charset=utf-8

<html>
...
<iframe src="EmailHtmlSourceIframe.jsp?sid={ID}&showHeadSeparator=false&msgId={BASE64}"
frameborder="0"></iframe>
...
</html>

Com acesso ao endpoint vulnerável, qualquer usuário, mesmo sem privilégios administrativos, pode visualizar todos os tíquetes, tanto abertos quanto encerrados, na plataforma. Para exemplificar a falha, imagine o seguinte cenário: Um atacante, com acesso de requisitante, ou seja, sem privilégios administrativos, está restrito a abrir e consultar apenas os tíquetes que originou. Neste contexto, suponha que o requisitante (atacante) tenha acesso apenas ao tíquete de número #123.

Ao explorar o endpoint vulnerável, ele consegue acessar tíquetes de outros usuários da plataforma. Assim, por exemplo, um tíquete como o #500, que foi aberto por um requisitante pertencente a outra empresa, poderia ser facilmente acessado pelo atacante, resultando no comprometimento da confidencialidade das informações.

Esse acesso não autorizado representará uma vulnerabilidade crítica na segurança da plataforma se, durante a comunicação entre os usuários requisitantes e administradores (N2 ou N3), houver compartilhamento de dados sensíveis, como logins, senhas, tokens e documentos confidenciais, que possam ter sido trocados visando a resolução dos tíquetes.

Remediação da vulnerabilidade

A SysAid Technologies anunciou as versões 23.2.15 (SysAid Help Desk On-Premise) e 23.2.50 (SysAid Help Desk Cloud), informando à PRIDE Security que a vulnerabilidade mencionada anteriormente foi resolvida nestas atualizações.

É importante destacar que a PRIDE Security não realizou novos testes nem confirmou a eficácia dessas correções.

Timeline de comunicação com o fabricante

  • 17 de maio de 2023 – Contato por e-mail.
  • 18 de maio de 2023 – SysAid Technologies reconhece o recebimento do e-mail.
  • 12 de junho de 2023 – SysAid Technologies fornece um roadmap da correção da vulnerabilidade.
  • 17 de julho de 2023 – SysAid Technologies informa que a vulnerabilidade foi corrigida.
  • 16 de novembro de 2023 – Lançamento público (PRIDE Security).

Agradecimentos

Nome Empresa
André Silva PRIDE Security
Ricardo B. Gonçales PRIDE Security

Sobre a PRIDE Security

A PRIDE Security é uma empresa especializada em segurança da informação com foco na excelência técnica e atendimento personalizado. Fundada por especialistas em segurança da informação, já atuamos em diversos tipos de projetos, desde testes de penetração em ATMs (caixas eletrônicos) até projetos de segurança nacional.

Composta por uma equipe experiente de mais de 15 anos no mercado e com excelência técnica comprovada por reconhecimento técnico nacional e internacional, a PRIDE Security vê em cada projeto um novo desafio para entregar mais do que o esperado.

Como prova do reconhecimento técnico internacional, nossos profissionais são constantemente aprovados ou convidados para palestrar em eventos de segurança ao redor do mundo. Citamos abaixo alguns exemplos de congressos, conferências e seminários voltados à segurança da informação, dos quais participamos como palestrantes ou coordenadores dos grupos técnicos:

  • Blackhat – EUA
  • RSA Conference – EUA
  • Defcon – EUA
  • ToorCon – EUA
  • Blackhat – edição Europa
  • OWASP AppSec Research – edição Europa
  • OWASP AppSecEU09 – edição Europa
  • Troppers – Alemanha
  • H2HC (Hackers 2 Hackers Conference) – Brasil
  • YSTS (You Sh0t The Sheriff) – Brasil

Além de palestrar nos principais eventos de segurança ao redor do mundo, nosso time de especialistas também é responsável por redigir diversos papers, coautor de patente de tecnologia ofensiva registrada nos Estados Unidos da América (US8756697), encontrar e publicar vulnerabilidades de segurança em softwares famosos como Sun Solaris, kernel FreeBSD/NetBSD, QNX RTOS, Microsoft ISA Server, Microsoft Word, Adobe Flash, Adobe PDF, entre outros.

Muitas organizações de todos os portes preocupadas com a segurança da informação confiam na PRIDE Security. Se você almeja, teremos o maior prazer em conectá-lo com nossos clientes para compartilhar suas experiências com nossos serviços.