Numerose comunità Salesforce accessibili pubblicamente sono configurate in modo errato e potrebbero esporre informazioni sensibili, afferma una ricerca pubblicata oggi.
Un sito Salesforce Community consente a clienti e partner di interfacciarsi con un’istanza Salesforce dall’esterno di un’organizzazione. Ad esempio, possono aprire ticket di supporto, porre domande, gestire i propri abbonamenti e altro ancora.
Secondo Varonis, gli utenti anonimi possono “interrogare oggetti che contengono informazioni sensibili come elenchi di clienti, casi di supporto e indirizzi e-mail dei dipendenti”. Il team di ricerca spiega in un post sul blog che un “attore malintenzionato potrebbe sfruttare questa configurazione errata per eseguire la ricognizione per una campagna di spear-phishing” come minimo.
“Nel peggiore dei casi, potrebbero rubare informazioni sensibili sull’azienda, le sue operazioni, i clienti e i partner”, continua. “In alcuni casi, un aggressore sofisticato può essere in grado di spostarsi lateralmente e recuperare informazioni da altri servizi integrati con l’account Salesforce”.
Le community di Salesforce vengono eseguite sul framework Lightning di Salesforce, un framework di sviluppo rapido per siti mobili e desktop. È un framework orientato ai componenti, che utilizza componenti aura, oggetti autonomi che uno sviluppatore può utilizzare per creare pagine web. Nel caso di Salesforce, i componenti aura possono essere utilizzati per eseguire azioni come la visualizzazione o l’aggiornamento dei record.
“Nei siti mal configurati, l’autore dell’attacco può eseguire una ricognizione cercando informazioni sull’organizzazione, come utenti, oggetti e campi che espongono nomi e indirizzi e-mail e, in molti casi, possono infiltrarsi nel sistema o rubare informazioni” spiega il team di ricerca Varonis . “In primo luogo, l’attaccante deve trovare un sito della community da sfruttare”.
I ricercatori continuano spiegando che “ci sono “impronte digitali” di URL comuni che indicheranno che un sito Web è alimentato da Salesforce Community” come “/s/topic”, “/s/article” e “/s/contactsupport”. L’autore dell’attacco recupererà quindi le informazioni sul sito restituendo il dominio dell’organizzazione e alcune impostazioni di sicurezza e oggetti disponibili.
Secondo il team di ricerca, gli amministratori di Salesforce possono adottare le seguenti misure per proteggersi dagli aggressori:
- Assicurati che le autorizzazioni del profilo ospite non espongano cose che non dovrebbero essere esposte come record di account, calendari dei dipendenti, ecc.
- Disabilita l’accesso all’API per i profili degli ospiti.
- Imposta il proprietario predefinito per i record creati dagli utenti ospiti.
- Abilita l’accesso sicuro per gli utenti ospiti.
Questa scoperta mostra che i team di sicurezza devono accedere continuamente alla loro esposizione SaaS, afferma il team di ricerca.