Gefährliche Überbleibsel

Lesezeit
1 Minute
Bis jetzt gelesen

Gefährliche Überbleibsel

13.06.2023 - 00:05
Veröffentlicht in:

Sicherheitsforscher haben entdeckt, dass unsachgemäß deaktivierte Salesforce-Sites, sogenannte Ghost Sites, weiterhin aktuelle Daten abrufen und für Angreifer zugänglich sind: Durch Manipulation des Host-Headers können Cyberkriminelle Zugang zu sensiblen personenbezogenen Daten und Geschäftsinformationen erhalten.

Mit Salesforce Sites können Unternehmen benutzerdefinierte Communities erstellen, die es Partnern und Kunden ermöglichen, innerhalb der Salesforce-Umgebung eines Unternehmens zusammenzuarbeiten. Naturgemäß teilen die Nutzer dabei auch vertrauliche und sensitive Daten. Wenn diese Communities nicht mehr benötigt werden, bleiben sie häufig dennoch aktiviert. Dies eröffnet einen Angriffspfad, zumal diese ungenutzten Sites in aller Regel nicht überwacht und auf Schwachstellen getestet werden.

Wie Ghost Sites entstehen

Typischerweise erstellen Unternehmen bei der Nutzung von Salesforce benutzerdefinierte Domains wie "partners.acme.org", die auf die entsprechende Community-Site ("partners.acme.org/00d400.live.siteforce.com") verweist. Wechselt das Unternehmen nun zu einem anderen Anbieter, möchte es in aller Regel die nutzerfreundliche Domain "partners.acme.org" weiterverwenden, die nun auf die vom neuen Anbieter gehostete Website verlinkt.

Doch beschränken sich viele Unternehmen hierbei auf die Änderung von DNS-Einträgen und entfernen weder die benutzerdefinierte Domäne in Salesforce, noch deaktivieren sie die Site. Somit besteht die Salesfoce-Site weiter mit allen potenziell sensitiven Mitteilungen, Geschäftsunterlagen und anderen geschäftlichen und persönlichen Informationen, die sie enthält – und die womöglich sogar weiter aktualisiert werden.

Zugriff auf sensitive Daten

Um an die Daten zu gelangen, müssen Angreifer die genaue interne Domäne kennen, die mit der noch bestehenden Salesforce-Site eines Unternehmens verbunden ist. Die Verwendung von Tools, die DNS-Einträge indizieren und archivieren wie etwa SecurityTrails erleichtert dabei das Identifizieren von Geisterseiten.

Diese Sites sind in Salesforce noch aktiv und somit unter den richtigen Umständen zugänglich. Zwar führt eine einfache GET-Anfrage zu einem Fehler, allerdings können Angreifer den Host-Header ändern: Dadurch wird Salesforce vorgetäuscht, dass die Website als "partners.acme.org/" aufgerufen wurde. Salesforce leitet die Angreifer so auf die Ghost Site weiter.

Die Sicherheitsforscher identifizierten bei ihrer Untersuchung zahlreiche verlassene Sites mit vertraulichen Informationen inklusive personenbezogener Daten und sensibler Geschäftsdaten, die sonst nicht zugänglich wären. Die offengelegten Daten beschränken sich dabei nicht nur auf alte Daten aus der Zeit, in der die Site genutzt wurde, sondern umfassen auch neue Datensätze, die aufgrund der Freigabekonfiguration in der Salesforce-Umgebung für den Gastbenutzer freigegeben wurden.

Geisterseiten austreiben

Um das Problem der Ghost Sites zu lösen, sollten Sites, die nicht mehr verwendet werden, stets deaktiviert werden. Es ist zudem wichtig, den Überblick über alle Salesforce-Sites und die Berechtigungen der jeweiligen Benutzer zu behalten – einschließlich Community- und Gastbenutzer. Die Varonis Threat Labs haben einen Leitfaden zum Schutz aktiver Salesforce-Communities vor Ausspähung und Datendiebstahl veröffentlicht.

Ähnliche Beiträge

Zoom erhält BSI-Sicherheitskennzeichen

Zoom erhält zwei IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik. Der Anbieter von Videokonferenzen nimmt die Kennzeichnung für die Dienste "Zoom Workplace Basic" und "Zoom Workplace Pro" entgegen. Die Auszeichnung soll die Transparenz bei der IT-Sicherheit von Konferenzdiensten erhöhen. Maßgeblich für die Erteilung ist die DIN SPEC 27008.

Mehr MFA-Komfort in privacyIDEA

NetKnights gibt die Version 3.10 der MFA-Software privacyIDEA frei. Als neues Authentifizierungsverfahren ist WebAuthn in der Version 3.10 nun auch offline nutzbar. Weiterhin wurde die Authentifizierung mittels PUSH-Token erweitert. Die neue Version ist ab sofort über den Python Package Index sowie in den Community Repositories für Ubuntu 20.04 und 22.04 verfügbar.

Mit Pentests zu sicheren Cloudumgebungen

Horizon3.ai, Anbieter von autonomen Cybersicherheitswerkzeugen, hat unter dem Namen "NodeZero Cloud Pentesting" eine neue Software vorgestellt. Sie soll Unternehmen dabei helfen, komplexe ausnutzbare Schwachstellen und versteckte Angriffspfade in ihren Cloudumgebungen zu identifizieren und zu beheben. Zielgruppe sind sowohl Unternehmen als auch öffentliche Verwaltungen, die mit der Neuvorstellung sowohl AWS- als auch Azure-Landschaften bewerten und sichern können.