Nu bedrijven hun medewerkers massaal laten telewerken, duiken ook security-perikelen op. En dan op niveau van hun servicedesk-tools. Een groot deel daarvan is slecht geconfigureerd en makkelijk te misbruiken door criminelen.
In het licht van de coronacrisis moesten veel organisaties hun dagelijkse werkzaamheden verplaatsen van het klassieke bedrijfsgebouw naar het thuiskantoor van hun medewerkers. Een uitdagende taak, en dit op vrij korte tijdspanne.
Tal van cybersecurity-professionals maakten zich zorgen over de mogelijke security-gevolgen van de plotselinge migratie naar zo’n thuiskantoor. Slechts weinigen waren in staat tastbare gegevens te verstrekken over de effecten van corona op cybersecurity.
Ook helpdesk gaat remote
Die gevolgen blijken alvast uit servicedesk-tools met interne ticketing, zoals Jira en Asana. ‘De meeste bedrijven eisen van hun medewerkers dat ze tickets aanmaken als ze hulp vragen bij computerproblemen, of om iets te veranderen of iets te krijgen’, vertelt Inti De Ceukelaire, die als ethische hacker het servicedesk probleem mee onder de aandacht bracht.
Iedereen kent wel de klassieke gevallen: ‘Of het nu gaat om het bestellen van een nieuwe id-badge, het aanvragen van toegang tot een tool of het oplossen van inlogproblemen, de oplossing hiervoor bevindt zich vandaag vaak in een remote-omgeving.’ En dat geldt dus ook voor hackpogingen, vermits een interne helpdesk openbaar wordt gemaakt.
Verkeerd geconfigureerd
Een toenemend aantal servicedesks, zoals van Jira, zijn verkeerd geconfigureerd waardoor zij vrij eenvoudig toegankelijk te zijn voor iedereen die zich wil aanmelden. Het gaat niet om een softwarefout: servicedesks kunnen legitieme redenen hebben om openbaar te functioneren.
Maar een groeiend aantal van hen waren eigenlijk bestemd om te dienen als een intern serviceticketportaal, waardoor aanvallers zich nu dus kunnen voordoen als werknemers, en dus legitieme interne verzoeken kunnen indienen.
Het controleren van de legitimiteit van deze verzoeken is moeilijker zonder offline-verificatiekanalen. ‘Externen kunnen toegang vragen tot vpn, sociale media kanalen of gebruikersinformatie’, haalt de ethische hacker aan.
15 procent staat open
Een aanzienlijk aantal interne servicebalies wordt intussen dus aan de buitenwereld blootgesteld, zodat iedereen er toegang tot heeft. Om zich bij zo’n verkeerd geconfigureerde servicedesk aan te sluiten, hoeft een aanvaller alleen maar naar de inlogpagina van de servicedesk te navigeren, vaak alleen op basis van de naam van het bedrijf.
De Ceukelaire deed de test bij Atlassian en dienstservicedesk-applicatie Jira. ‘Ik was benieuwd hoeveel bedrijven hun interne servicedesks publiekelijk beschikbaar hadden en ontdekte uit een lijst van tienduizend populaire domeinnamen dat wereldwijd niet minder dan 288 van 1.972 (ongeveer vijftien procent) corresponderende Atlassian-cases open waren voor het publiek.’
Zelf tickets toewijzen
Dit was een stijging van twaalf procent ten opzichte van de tests die hij de voorbije zomer en dus vóór de Covid-19-crisis uitvoerde. Ongeveer een derde van de servicedesks waar De Ceukelaire bij kon, gaf hem de mogelijkheid om tickets toe te wijzen aan andere gebruikers.
Ook al is dit allemaal een schatting, op basis van een automatische en ruwe check, toch doet dit uitschijnen dat security-perikelen met online-servicedesks alleen nog maar (flink) zijn toegenomen sinds corona.
