Salesforce: Varonis warnt vor gefährlichen Fehlkonfigurationen

Varonis-Forscher sehen Gefahr des Ausspähens und Datendiebstahls

[datensicherheit.de, 11.08.2021] Sicherheitsforscher von Varonis Systems weisen nach eigenen Angaben auf die Gefahren durch Fehlkonfigurationen von „Salesforce“ hin, durch die sensible Daten für jedermann im Internet zugänglich gemacht werden könnten – anonyme Benutzer könnten demnach Objekte abfragen, welche sensible Informationen wie Kundenlisten, Support-Fälle und E-Mail-Adressen von Mitarbeitern enthalten.

Varonis-Forscher haben zahlreiche öffentlich zugängliche, falsch konfigurierte Salesforce Communities entdeckt

Das Forscherteam habe zahlreiche öffentlich zugängliche „Salesforce Communities“ entdeckt, welche falsch konfiguriert seien und so sensible Informationen offenlegten. Salesforce habe weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der „Fortune 500“-Unternehmen. Deshalb warnten die Sicherheitsexperten, dass durch die Fehlkonfigurationen Tausende von Unternehmen gefährdet sein könnten.
Die Ursache liege in der „Salesforce Community“, mit der Salesforce-Kunden ihre eigenen Websites erstellen könnten, um sich mit Benutzern außerhalb ihres Unternehmens zu verbinden und zusammenzuarbeiten. Sogenannte Communities könnten unterschiedlichste Funktionen bieten, wie z.B. „Fragen und Antworten“, Foren oder Partnerportale. Zudem könnten sie anonymen Benutzern („Guest User“) auch die Abfrage von Objekten ermöglichen, welche sensible Informationen enthielten, wie z.B. Kundenlisten, Support-Fälle, E-Mail-Adressen von Mitarbeitern und mehr.
Communities seien öffentlich zugänglich und würden standardmäßig von Google indiziert. Dies sei zwar für Kunden und Partner nützlich, mache es aber Angreifern, welche eine Schwachstelle oder Fehlkonfiguration entdecken, leicht, Communities in großem Umfang zu scannen und zu missbrauchen.

Varonis Threat Update zeigt neue, bislang unveröffentlichte Aspekte des Angriffs

Obwohl das Problem von Sicherheitsforschern bereits im letzten Jahr – 2020 – an Salesforce gemeldet worden sei, seien immer noch unzählige Unternehmen gefährdet. Das „Varonis Threat Update“ zeige neue, bislang unveröffentlichte Aspekte des Angriffs auf. Die Sicherheitsforscher hätten ihre Erkenntnisse Salesforce mitgeteilt, welches nach eigenen Angaben an Updates für seine App arbeite, um eine versehentliche Preisgabe von Informationen zu erschweren.
„Angreifer können diese Fehlkonfiguration ausnutzen, um vertrauliche Informationen für eine ,Spear Phishing‘-Kampagne zu gewinnen. Im schlimmsten Fall sind sie in der Lage, sensible Informationen über ein Unternehmen, seine Aktivitäten, Kunden und Partner zu stehlen. In einigen Fällen könnte sich ein raffinierter Angreifer sogar seitwärts bewegen und Informationen von anderen Diensten abrufen, die mit dem Salesforce-Konto integriert sind“, erläutert Nitay Bachrach, Sicherheitsforscher bei Varonis.
Dies sei nicht das erste Mal und werde auch nicht das letzte Mal sein, „dass ein SaaS-Konfigurationsproblem zu einem ernsthaften Sicherheitsvorfall führen kann“. Bachrach rät: „IT- und Sicherheitsteams müssen wachsam bleiben und ihre SaaS-Risiken kontinuierlich bewerten.“

Varonis-Tipps für betroffene Unternehmen

Varonis have ein Scanner-Tool entwickelt, um gefährdete Communities zu identifizieren. Dieses Tool werde nicht veröffentlicht, da es Angreifern das Aufspüren von gefährdeten Unternehmen erleichtern könnte. Salesforce-Administratoren sollten zudem folgende Schritte durchführen:

• Prüfen Sie die Berechtigungen der Gastprofile: Stellen Sie sicher, dass durch die Berechtigungen dieser Profile keine Informationen freigegeben werden, die Sie nicht preisgeben möchten, wie z.B. Kontodaten oder Mitarbeiterkalender!
• Deaktivieren Sie den API-Zugang!
• Legen Sie einen Standard-Eigentümer/Verantwortlichen für Datensätze fest, welche von Gastbenutzern erstellt werden!
• Aktivieren Sie den sicheren Gastbenutzer-Zugang!

Weitere Informationen zum Thema:

VARONIS, Nitay Bachrach, 10.08.2021
Abusing Misconfigured Salesforce Communities for Recon and Data Theft

VARONIS
#staysafestayalert / Get Incident Response help for free