Sites fantasmas: roubo de dados de comunidades Salesforce desativadas

Sites fantasmas são comunidades abandonadas no Salesforce sem atualizações ou medidas de segurança implementadas
Nitay Bachrach
3 minuto de leitura
Ultima atualização 1 de Junho de 2023
Sites fantasmas

O Varonis Threat Labs descobriu que “sites fantasmas” do Salesforce desativados incorretamente e sem manutenção permanecem acessíveis e vulneráveis a riscos. Ao manipular o cabeçalho do host, os agentes de ameaças podem obter acesso a PII confidenciais e dados comerciais.

Os sites Salesforce permitem criar comunidades personalizadas, facilitando que parceiros e clientes colaborem no ambiente Salesforce de uma empresa.

Porém, quando essas comunidades não são mais necessárias, muitas vezes são deixadas de lado, mas não desativadas. Como esses sites deixam de ser utilizados e mantidos, eles não são testados contra vulnerabilidades e os administradores não atualizam as medidas de segurança conforme as diretrizes mais recentes.

O Varonis Threat Labs descobriu que muitos desses sites Salesforce desativados incorretamente continuam extraindo dados novos e são facilmente encontrados, acessados e explorados por invasores. Chamamos essas Comunidades Salesforce abandonadas, desprotegidas e não monitoradas de “sites fantasmas”.

Neste artigo, mostraremos como esses sites fantasmas se manifestam, como localizá-los e como um invasor pode usar uma exploração simples para acessá-los.

De onde vêm os sites fantasmas?

A criação de sites fantasmas começa com nomes de domínio personalizados. Em vez de usar URLs internos desagradáveis, como “acmeorg.meu.site.com/parceiros, as empresas criam domínios personalizados para os parceiros navegarem em parceiros.acme.org. Isso é feito configurando o registro DNS para que “parceiros.acme.org” aponte para o site da comunidade Salesforce em “parceiros.acme.org.00d400.live.siteforce.com”.

Observe que o novo registro DNS deve ter uma entrada CNAME que aponte para seu FQDN, seguido pelo ID da organização e por.live.siteforce.com. Com o registro DNS alterado, os parceiros que visitam “parceiros.acme.org” poderão navegar no site Salesforce da Acme.

O problema começa quando a Acme decide escolher um novo fornecedor do Community Site.

Nascimento de sites fantasmas

Como qualquer outra tecnologia, as empresas podem substituir um Salesforce Experience Site por uma alternativa.

Posteriormente, a Acme modifica o registro DNS de “parceiros.acme.org” para apontar para um novo site que pode ser executado em seu ambiente AWS, por exemplo, em vez de “parceiros.acme.org.00d400.live.siteforce.com”.

Do ponto de vista dos usuários, o site do Salesfore desapareceu e uma nova página da comunidade está disponível, completamente desconectada do Salesforce, não sendo executada no ambiente e nenhuma integração óbvia detectável.

Os pesquisadores do Varonis Threat Labs descobriram que muitas empresas apenas modificam os registros DNS. Elas não removem o domínio personalizado do Salesforce, nem desativam o site. Em vez disso, o site continua existindo, extraindo dados e se tornando um site fantasma.

Falando com sites fantasmas

Agora que o domínio Acme não aponta mais para o Salesforce, simplesmente chamar endpoints, como o Aura, não funcionará.

aura-not-working-1

aura-working-2

Mas como os sites fantasmas ainda estão ativos no Salesforce, o domínio siteforce ainda é resolvido, o que significa que está disponível nas circunstâncias corretas. Uma solicitação GET simples resulta em erro — mas há outras maneiras de obter acesso.

Os invasores podem explorar esses sites simplesmente alterando o cabeçalho do host. Isso levaria o Salesforce a acreditar que o site foi acessado como https://parceiros.acme.org/ e que o Salesforce forneceria o site ao invasor.

regular-site-3

Embora seja verdade que esses sites também possam ser acessados usando as URLs internas completas, essas URLs são difíceis de serem identificadas por um invasor externo. No entanto, usar ferramentas que indexam e arquivam registros DNS — como Security Trils e ferramentas semelhantes — facilita muito a identificação de sites fantasmas.

Além do risco, está o fato de que sites antigos e obsoletos são menos monitorados e, portanto, menos seguros, aumentando a facilidade de um ataque.

Segredos dos sites fantasmas

Nossa pesquisa encontrou muitos desses sites com dados confidenciais, incluindo PII e dados comerciais confidenciais que não estariam acessíveis de outra forma. Os dados expostos não se restringem apenas aos dados antigos de quando o site estava em uso, mas também inclui registros que foram compartilhados com o usuário convidado devido à configuração de compartilhamento em seu ambiente Salesforce.

Exorcizando sites fantasmas

Para resolver o problema dos sites fantasmas, e mitigar outras ameaças, os sites que não estão mais em uso devem ser desativados. É importante acompanhar todos os sites do Salesforce e as permissões de seus respectivos usuários, incluindo usuários da comunidade e convidados. O Varonis Threat Labs criou um guia para proteger suas comunidades ativas do Salesforce contra reconhecimento e roubo de dados, e você pode ler mais sobre como manter os dados confidenciais da plataforma seguros.

Aproveite e agende uma demonstração gratuita da nossa plataforma e saiba que a Varonis é adequada para sua empresa.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

varonis-lança-painel-personalizável-de-gerenciamento-de-postura-de-segurança-de-dados-(dspm)
Varonis lança painel personalizável de gerenciamento de postura de segurança de dados (DSPM)
Painel DSPM personalizável permite a avaliação fácil da postura de segurança de dados, permitindo a fácil identificação de riscos 
identidade-da-okta:-conheça-o-crosstalk-e-o-secret-agent,-dois-vetores-de-ataque
Identidade da Okta: Conheça o CrossTalk e o Secret Agent, dois vetores de ataque
Novos vetores de ataque colocaram em risco o serviço de autenticação da Okta e permitiam acesso aos dados cadastrados na plataforma
compare-facilmente-as-permissões-de-usuário-do-salesforce
Compare facilmente as permissões de usuário do Salesforce
O DatAdvantage Cloud agora permite que os administradores comparem as permissões efetivas de dois usuários do Salesforce lado a lado com um único clique.
spoofing-de-vanity-url-saas-para-ataques-de-engenharia-social
Spoofing de Vanity URL SaaS para ataques de engenharia social
Muitos aplicativos SaaS oferecem o que é conhecido como URLs personalizadas, ou Vanity URLs – endereços da Web personalizáveis para páginas de destino, links de compartilhamento de arquivos, etc. As URLs personalizadas permitem a criação de um link como este: