Salesforce Communities können geschäftskritische Informationen preisgeben

  • Zahlreiche öffentlich zugängliche Salesforce Communities sind falsch konfiguriert und könnten sensible Informationen preisgeben, so eine heute veröffentlichte Studie.

    Über eine Salesforce-Community-Site können Kunden und Partner von außerhalb eines Unternehmens auf eine Salesforce-Instanz zugreifen. So können sie beispielsweise Support-Tickets öffnen, Fragen stellen, ihre Abonnements verwalten und vieles mehr.

    Laut Varonis können anonyme Benutzer “Objekte abfragen, die sensible Informationen wie Kundenlisten, Supportfälle und E-Mail-Adressen von Mitarbeitern enthalten”. Das Forschungsteam erklärt in einem Blog-Beitrag, dass ein “böswilliger Akteur diese Fehlkonfiguration ausnutzen könnte, um zumindest eine Spear-Phishing-Kampagne durchzuführen”.

    “Schlimmstenfalls könnten sie sensible Informationen über das Unternehmen, seine Tätigkeiten, Kunden und Partner stehlen”, heißt es weiter. “In einigen Fällen könnte ein raffinierter Angreifer in der Lage sein, sich seitlich zu bewegen und Informationen von anderen Diensten abzurufen, die mit dem Salesforce-Konto integriert sind.”

    Salesforce-Communities laufen auf dem Lightning-Framework von Salesforce – einem schnellen Entwicklungsframework für mobile und Desktop-Sites. Es handelt sich um ein komponentenorientiertes Framework, das Aura-Komponenten verwendet – in sich geschlossene Objekte, die ein Entwickler zur Erstellung von Webseiten verwenden kann. Im Fall von Salesforce können Aura-Komponenten verwendet werden, um Aktionen wie das Anzeigen oder Aktualisieren von Datensätzen durchzuführen.

    “In falsch konfigurierten Sites kann der Angreifer eine Aufklärung durchführen, indem er nach Informationen über die Organisation sucht, wie Benutzer, Objekte und Felder, die Namen und E-Mail-Adressen offenlegen, und in vielen Fällen kann er das System infiltrieren oder Informationen stehlen”, erklärt das Varonis-Forschungsteam. “Zuerst muss der Angreifer eine Community-Site finden, die er ausnutzen kann.”

    Die Forscher erklären weiter, dass “es gängige URL-“Fingerabdrücke” gibt, die darauf hinweisen, dass eine Website von Salesforce Communities betrieben wird”, wie “/s/topic”, “/s/article” und “/s/contactsupport”. Der Angreifer ruft dann Informationen über die Website ab, indem er die Domäne der Organisation sowie einige Sicherheitseinstellungen und verfügbare Objekte zurückgibt.

    Nach Angaben des Forschungsteams können Salesforce-Administratoren die folgenden Schritte unternehmen, um sich vor Angreifern zu schützen:

    • Stellen Sie sicher, dass Gastprofilberechtigungen keine Dinge offenlegen, die nicht offengelegt werden sollten, z. B. Kontodaten, Mitarbeiterkalender usw.
    • Deaktivieren Sie den API-Zugriff für Gastprofile.
    • Legen Sie den Standardeigentümer für von Gastbenutzern erstellte Datensätze fest.
    • Aktivieren Sie den sicheren Gastbenutzerzugang.

    Dieses Ergebnis zeigt, dass Sicherheitsteams kontinuierlich auf ihre SaaS-Exposition zugreifen müssen, so das Forschungsteam.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com