Die Sicherheitsforscher der Varonis Threat Labs haben entdeckt, dass unsachgemäß deaktivierte Salesforce-Sites, sogenannte Ghost Sites, weiterhin aktuelle Daten abrufen und für Angreifer zugänglich sind: Durch Manipulation des Host-Headers können Cyberkriminelle Zugang zu sensiblen personenbezogenen Daten und Geschäftsinformationen erhalten.

Mit Salesforce Sites können Unternehmen benutzerdefinierte Communities erstellen, die es Partnern und Kunden ermöglichen, innerhalb der Salesforce-Umgebung eines Unternehmens zusammenzuarbeiten. Naturgemäß werden dabei auch vertrauliche und sensitive Daten geteilt. Wenn diese Communities nicht mehr benötigt werden, werden sie häufig jedoch nicht korrekt deaktiviert.

Dies eröffnet Angreifern einen Angriffspfad, zumal diese ungenutzten Sites in aller Regel nicht überwacht und auf Schwachstellen getestet werden.

Wie Salesforce Ghost Sites entstehen
Typischerweise erstellen Unternehmen bei der Nutzung von Salesforce benutzerdefinierte Domains wie „partners.acme.org“, die auf die entsprechende Community-Site („partners.acme.org/00d400.live.siteforce.com“) verweist. Wenn das Unternehmen nun zu einem anderen Anbieter wechselt, wird es in aller Regel die nutzerfreundliche Domain „partners.acme.org“ weiterverwenden wollen, die nun auf die vom neuen Anbieter gehostete Website verlinkt.

Leider beschränken sich viele Unternehmen hierbei auf die Änderung von DNS-Einträgen und entfernen weder die benutzerdefinierte Domäne in Salesforce, noch deaktivieren sie die Site. Somit exisitiert die Salesfoce-Site weiter mit allen potenziell sensitiven Mitteilungen, Geschäftsunterlagen und anderen geschäftlichen und persönlichen Informationen, die sie enthält, und die womöglich weiter aktualisiert werden.

Wie sich Cyberkriminelle Zugriff auf sensitive Daten verschaffen können
Um an die Daten zu gelangen, müssen Angreifer die genaue interne Domäne kennen, die mit der noch bestehenden Salesforce-Site eines Unternehmens verbunden ist. Die Verwendung von Tools, die DNS-Einträge indizieren und archivieren (wie beispielsweise SecurityTrails) erleichtert dabei die Identifizierung von Geisterseiten. Diese Sites sind in Salesforce noch aktiv und somit unter den richtigen Umständen zugänglich.

Zwar führt eine einfache GET-Anfrage zu einem Fehler, allerdings können Angreifer den Host-Header ändern: Dadurch wird Salesforce vorgetäuscht, dass die Website als partners.acme.org/ aufgerufen wurde. Salesforce leitet die Angreifer so auf die Ghost Site weiter.

Die Sicherheitsforscher identifizierten bei ihrer Untersuchung zahlreiche verlassene Sites mit vertraulichen Informationen inklusive personenbezogener Daten und sensibler Geschäftsdaten, die sonst nicht zugänglich wären. Die offengelegten Daten beschränken sich dabei nicht nur auf alte Daten aus der Zeit, in der die Site genutzt wurde, sondern umfassen auch neue Datensätze, die aufgrund der Freigabekonfiguration in der Salesforce-Umgebung für den Gastbenutzer freigegeben wurden.

Wie man die Geisterseiten austreiben kann
Um das Problem der Ghost Sites zu lösen, sollten Sites, die nicht mehr verwendet werden, stets deaktiviert werden. Es ist zudem wichtig, den Überblick über alle Salesforce-Sites und die Berechtigungen der jeweiligen Benutzer zu behalten – einschließlich Community- und Gastbenutzer. Die Varonis Threat Labs haben dazu einen Leitfaden zum Schutz aktiver Salesforce-Communities vor Ausspähung und Datendiebstahl erstellt.

Weitere Beiträge....