Die Sicherheitsforscher von Varonis Systems weisen auf die Gefahren durch Fehlkonfigurationen von Salesforce hin, durch die sensible Daten für jedermann im Internet zugänglich gemacht werden können. Anonyme Benutzer können Objekte abfragen, die sensible Informationen wie Kundenlisten, Supportfälle und E-Mail-Adressen von Mitarbeitern enthalten. Das Forscherteam hat zahlreiche öffentlich zugängliche Salesforce Communities entdeckt, die falsch konfiguriert sind und so sensible Informationen offenlegen. Salesforce hat weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der Fortune-500-Unternehmen. Deshalb warnen die Sicherheitsexperten, dass durch die Fehlkonfigurationen Tausende von Unternehmen gefährdet sein könnten.
Die Ursache liegt in der Salesforce-Community, mit der Salesforce-Kunden ihre eigenen Websites erstellen können, um sich mit Benutzern außerhalb ihres Unternehmens zu verbinden und zusammenzuarbeiten. Communities können unterschiedlichste Funktionen bieten, wie Fragen und Antworten, Foren oder Partnerportale. Zudem können sie anonymen Benutzern (Guest User) auch die Abfrage von Objekten ermöglichen, die sensible Informationen enthalten, wie z. B. Kundenlisten, Support-Fälle, E-Mail-Adressen von Mitarbeitern und mehr. Communities sind öffentlich zugänglich und werden standardmäßig von Google indiziert. Dies ist zwar für Kunden und Partner nützlich, macht es aber Angreifern, die eine Schwachstelle oder Fehlkonfiguration entdecken, leicht, Communities in großem Umfang zu scannen und zu missbrauchen.
Obwohl das Problem von Sicherheitsforschern bereits im letzten Jahr an Salesforce gemeldet wurde, sind immer noch unzählige Unternehmen gefährdet. Das Varonis-Threat-Update zeigt neue, bislang unveröffentlichte Aspekte des Angriffs auf. Die Sicherheitsforscher haben ihre Erkenntnisse Salesforce mitgeteilt, das nach eigenen Angaben an Updates für seine App arbeitet, um eine versehentliche Preisgabe von Informationen zu erschweren.
„Angreifer können diese Fehlkonfiguration ausnutzen, um vertrauliche Informationen für eine Spear-Phishing-Kampagne zu gewinnen. Im schlimmsten Fall sind sie in der Lage, sensible Informationen über ein Unternehmen, seine Aktivitäten, Kunden und Partner zu stehlen. In einigen Fällen könnte sich ein raffinierter Angreifer sogar seitwärts bewegen und Informationen von anderen Diensten abrufen, die mit dem Salesforce-Konto integriert sind“, erklärt Nitay Bachrach, Sicherheitsforscher von Varonis. „Dies ist nicht das erste Mal und wird auch nicht das letzte Mal sein, dass ein SaaS-Konfigurationsproblem zu einem ernsthaften Sicherheitsvorfall führen kann. IT- und Sicherheitsteams müssen wachsam bleiben und ihre SaaS-Risiken kontinuierlich bewerten.“
Was betroffene Unternehmen tun sollten
Varonis hat ein Scanner-Tool entwickelt, um gefährdete Communities zu identifizieren. Das Tool wird nicht veröffentlicht, da es Angreifern das Aufspüren von gefährdeten Unternehmen erleichtern könnte. Potenziell gefährdete Unternehmen können es über dieses Formular anfordern: https://www.varonis.com/help
Salesforce-Administratoren sollten zudem folgende Schritte durchführen:
- Prüfen Sie die Berechtigungen der Gastprofile: Stellen Sie sicher, dass durch die Berechtigungen dieser Profile keine Informationen freigegeben werden, die Sie nicht preisgeben möchten, wie z. B. Kontodaten oder Mitarbeiterkalender.
- Deaktivieren Sie den API-Zugang.
- Legen Sie einen Standard-Eigentümer/Verantwortlichen für Datensätze fest, die von Gastbenutzern erstellt werden.
- Aktivieren Sie den sicheren Gastbenutzer-Zugang.
Weitere detaillierte Informationen zum technischen Hintergrund, den Angriffswegen und den Gegenmaßnahmen finden sich im entsprechenden Varonis-Blog-Beitrag.
#Varonis
