ระบบตั๋ว Zendesk ถูกไฮแจ็กในการโจมตีสแปมทั่วโลกครั้งใหญ่

ผู้คนทั่วโลกกำลังถูกโจมตีด้วยคลื่นสแปมขนาดใหญ่ที่มาจากระบบสนับสนุน Zendesk ที่ไม่ปลอดภัย โดยเหยื่อรายงานว่าได้รับอีเมลหลายร้อยฉบับพร้อมหัวข้อแปลกๆ และบางครั้งก็น่าตกใจ แม้ว่าอีเมลเหล่านี้จะไม่มีลิงก์ที่เป็นอันตรายหรือพยายามฟิชชิ่งที่ชัดเจน แต่ปริมาณและลักษณะที่วุ่นวายของอีเมลทำให้เกิดความสับสนและอาจสร้างความตื่นตระหนกให้กับผู้รับ

Severity: ปานกลาง

System Impact:

• ระบบสนับสนุน Zendesk ของบริษัทต่างๆ
• ผู้ใช้งานอีเมลทั่วโลก (เหยื่อสแปม)
• Discord
• Tinder
• Riot Games
• Dropbox
• CD Projekt (2k.com)
• Maya Mobile
• NordVPN
• Tennessee Department of Labor
• Tennessee Department of Revenue
• Lightspeed
• CTL
• Kahoot
• Headspace
• Lime

Technical Attack Steps:

1. ผู้โจมตีใช้ประโยชน์จากคุณสมบัติของ Zendesk ที่อนุญาตให้ผู้ใช้ที่ไม่ได้รับการยืนยันตัวตนสามารถส่งคำขอรับการสนับสนุนได้
2. ผู้โจมตีสร้างตั๋วสนับสนุนปลอมโดยใช้ที่อยู่อีเมลจำนวนมากจากรายการที่เตรียมไว้
3. ระบบ Zendesk จะส่งอีเมลยืนยันการรับตั๋วโดยอัตโนมัติไปยังที่อยู่อีเมลที่ผู้โจมตีป้อน
4. อีเมลยืนยันอัตโนมัติเหล่านี้กลายเป็นข้อความสแปมที่ถูกส่งไปยังเหยื่อ โดยมีหัวข้ออีเมลที่แปลกประหลาดและสร้างความสับสน

Recommendations:

Short Term:

• ไม่ควรกังวลและไม่ควรกระทำการใดๆ กับอีเมลสแปมที่ได้รับ
• บริษัทที่ได้รับผลกระทบไม่ควรกระทำการใดๆ กับบัญชีหรือประมวลผลคำขอที่ละเอียดอ่อนหากไม่ได้รับการยืนยันตัวตนโดยตรงจากเจ้าของบัญชี

Long Term:

• องค์กรที่ใช้ Zendesk ควรกำหนดให้การสร้างตั๋วจำกัดเฉพาะผู้ใช้ที่ได้รับการยืนยันตัวตนเท่านั้น
• องค์กรควรกำจัดตัวยึด (placeholders) ที่อนุญาตให้ใช้ที่อยู่อีเมลหรือหัวข้อตั๋วใดๆ ก็ได้
• Zendesk ได้เพิ่มคุณสมบัติความปลอดภัยใหม่ๆ เช่น การตรวจสอบและจำกัดกิจกรรมที่ผิดปกติ เพื่อตรวจจับและหยุดสแปมประเภทนี้ได้รวดเร็วยิ่งขึ้น

Source: BleepingComputer.com (https://www.bleepingcomputer.com/news/security/zendesk-ticket-systems-hijacked-in-massive-global-spam-wave/)