Die Sicherheitsforscher von Varonis weisen auf die Gefahren durch Fehlkonfigurationen von Salesforce hin, durch die sensible Daten für jedermann im Internet zugänglich gemacht werden können. Anonyme Benutzer können Objekte abfragen, die sensible Informationen wie Kundenlisten, Supportfälle und E-Mail-Adressen von Mitarbeitern enthalten.
Das Forscherteam hat zahlreiche öffentlich zugängliche Salesforce Communities entdeckt, die falsch konfiguriert sind und so sensible Informationen offenlegen. Salesforce hat weltweit mehr als 150.000 Kunden, darunter rund 90 Prozent der Fortune-500-Unternehmen. Deshalb warnen die Sicherheitsexperten, dass durch die Fehlkonfigurationen Tausende von Unternehmen gefährdet sein könnten.
Die Ursache liegt in der Salesforce Community, mit der Salesforce-Kunden ihre eigenen Websites erstellen können, um sich mit Benutzern außerhalb ihres Unternehmens zu verbinden und zusammenzuarbeiten. Communities können unterschiedlichste Funktionen bieten, wie z. B. Fragen und Antworten, Foren oder Partnerportale.
Zudem können sie anonymen Benutzern (Guest User) auch die Abfrage von Objekten ermöglichen, die sensible Informationen enthalten, wie z. B. Kundenlisten, Support-Fälle, E-Mail-Adressen von Mitarbeitern und mehr. Communities sind öffentlich zugänglich und werden standardmäßig von Google indiziert.
Dies ist zwar für Kunden und Partner nützlich, macht es aber Angreifern, die eine Schwachstelle oder Fehlkonfiguration entdecken, leicht, Communities in großem Umfang zu scannen und zu missbrauchen.
Obwohl das Problem von Sicherheitsforschern bereits im letzten Jahr an Salesforce gemeldet wurde, sind immer noch unzählige Unternehmen gefährdet. Das Varonis Threat Update zeigt neue, bislang unveröffentlichte Aspekte des Angriffs auf. Die Sicherheitsforscher haben ihre Erkenntnisse Salesforce mitgeteilt, das nach eigenen Angaben an Updates für seine App arbeitet, um eine versehentliche Preisgabe von Informationen zu erschweren.
Was betroffene Unternehmen tun sollten
Varonis hat ein Scanner-Tool entwickelt, um gefährdete Communities zu identifizieren. Das Tool wird nicht veröffentlicht, da es Angreifern das Aufspüren von gefährdeten Unternehmen erleichtern könnte. Salesforce-Administratoren sollten zudem folgende Schritte durchführen:
- Prüfen Sie die Berechtigungen der Gastprofile. Stellen Sie sicher, dass durch die Berechtigungen dieser Profile keine Informationen freigegeben werden, die Sie nicht preisgeben möchten.
- Deaktivieren Sie den API-Zugang.
- Legen Sie einen Standard-Eigentümer/Verantwortlichen für Datensätze fest, die von Gastbenutzern erstellt werden.
- Aktivieren Sie den sicheren Gastbenutzer-Zugang.