Varonis Threat Labs hat herausgefunden, dass inkorrekt deaktivierte und nicht gewartete „Ghost Sites“ auf Salesforce weiter zugänglich bleiben und anfällig für Angriffe sind. Durch Manipulation des Host-Headers können sich Bedrohungsakteure Zugriff auf sensible personenbezogene und Geschäftsdaten verschaffen.
Mit Salesforce Sites lassen sich benutzerdefinierte Communitys erstellen, damit Partner und Kunden innerhalb der Salesforce-Umgebung des eigenen Unternehmens zusammenarbeiten können.
Wenn diese Communitys anschließend nicht mehr benötigt werden, werden sie oft stillgelegt, aber nicht deaktiviert. Da diese ungenutzten Sites nicht gewartet werden, werden sie auch nicht auf Schwachstellen getestet. Die Administratoren führen dann auch keine Updates an den Sicherheitsmaßnahmen der Site durch anhand neuerer Richtlinien durch.
Varonis Threat Labs hat herausgefunden, dass viele solche inkorrekt deaktivierten Salesforce Sites weiterhin neue Daten abrufen. Angreifer können sie leicht finden, darauf zugreifen und Exploits ausnutzen. Wir bezeichnen solche verlassenen, ungeschützten und nicht überwachten Salesforce-Communitys als „Ghost Sites“.
In diesem Blog zeigen wir Ihnen, was diese Ghost Sites sind, wie Sie sie aufspüren können und wie Angreifer mit einfachen Exploits auf sie zugreifen können.
Ghost Sites fangen immer mit benutzerdefinierten Domainnamen an.
Anstatt unansehnliche interne URLs wie „acmeorg.my.site.com/partners“ zu verwenden, legen Unternehmen benutzerdefinierte Domains an. So können ihre Partner beispielsweise auf „partner.firma.org“ zugreifen. Das funktioniert, indem der DNS-Eintrag entsprechend konfiguriert wird. Dann leitet die Adresse „partner.firma.org“ auf die schöne, kuratierte Salesforce Community Site unter „partner.firma.org.00d400.live.siteforce.com.“ weiter.
Beachten Sie, dass der neue DNS-Eintrag einen CNAME-Eintrag haben sollte, der auf Ihren FQDN verweist, gefolgt von der Organisations-ID, gefolgt von „live.siteforce.com“. Da der DNS-Eintrag geändert wurde, gelangen Partner, die „partner.firma.org“ eingeben, direkt auf die Salesforce Site der Firma.
Schwierig wird es dann, wenn die Firma beschließt, den Anbieter für seine Community-Site zu wechseln.
Wie bei jeder anderen Technologie könnten Unternehmen eine Salesforce Experience Site durch eine Alternative ersetzen.
Die Firma ändert dann den DNS-Eintrag von „partner.firma.org“ so, dass er auf eine neue Site verweist, die beispielsweise in ihrer AWS-Umgebung ausgeführt wird, anstelle von „partner.firma.org.00d400.live.siteforce.com“.
Aus Sicht der Benutzer ist die Salesforce Site verschwunden und die neue Community-Seite ist verfügbar. Die neue Seite ist möglicherweise vollständig von Salesforce getrennt, läuft nicht in derselben Umgebung und es sind keine offensichtlichen Integrationen erkennbar.
Die Varonis Threat Labs haben jedoch herausgefunden, dass viele Unternehmen lediglich ihre DNS-Einträge ändern. Sie entfernen weder die benutzerdefinierte Domain in Salesforce noch deaktivieren sie die Site. Stattdessen existiert diese auch weiterhin, ruft Daten ab und wird zu einer „Ghost Site“.
Da die Domain der Firma nun nicht mehr auf Salesforce verweist, lassen sich Endpunkte wie Aura nicht mehr einfach aufrufen.
Da die Ghost Site in Salesforce jedoch nach wie vor aktiv ist, wird die Siteforce-Domain weiterhin aufgelöst – sie ist also gegebenenfalls noch verfügbar. Eine einfache GET-Anfrage gibt einen Fehler zurück. Es existiert jedoch eine andere Möglichkeit, Zugriff zu erhalten.
Angreifer können solche Sites jedoch mit einem Exploit ausnutzen, indem sie einfach den Host-Header ändern. Dadurch glaubt Salesforce, dass über https://partner.firma.org/ auf die Site zugegriffen wurde und gibt dem Angreifer Zugang dazu.
Nun sind solche Sites zwar über die vollständige interne URL zugänglich, aber diese URL ist für einen externen Angreifer schwer zu finden. Mithilfe von Tools, die DNS-Einträge indizieren und archivieren – beispielsweise SecurityTrails und ähnliche Tools –, können Ghost Sites jedoch relativ einfach gefunden werden.
Hinzu kommt, dass alte und nicht mehr benutzte Websites weniger gewartet werden und daher weniger sicher sind, was einen Angriff noch einfacher macht.
Unsere Nachforschungen ergaben, dass es viele solcher Sites mit vertraulichen Daten gibt, einschließlich personenbezogener Daten und sensibler Geschäftsdaten, die sonst nicht zugänglich sind. Dabei sind nicht nur Daten aus der Zeit offengelegt, als die Site noch genutzt wurde. Es sind auch neue Datensätze zu finden, die aufgrund der Freigabekonfiguration in der Salesforce-Umgebung mit Gastbenutzern geteilt werden.
Um das Problem der Ghost Sites zu lösen – und um andere Bedrohungen abzuwehren –, sollten Sites, die nicht mehr genutzt werden, deaktiviert werden. Es ist wichtig, den Überblick über alle Salesforce-Sites und die Berechtigungen ihrer jeweiligen Benutzer zu behalten – einschließlich Community- und Gastbenutzern. Varonis Threat Labs hat einen Leitfaden zum Schutz Ihrer aktiven Salesforce-Communitys vor Spionage und Datendiebstahl erstellt. Weitere Informationen zum Schutz vertraulicher Salesforce-Daten finden Sie hier.