Mit Salesforce Sites können Unternehmen benutzerdefinierte Communities erstellen, die es Partnern und Kunden ermöglichen, innerhalb der Salesforce-Umgebung eines Unternehmens zusammenzuarbeiten. Naturgemäß teilen die Nutzer dabei auch vertrauliche und sensitive Daten. Wenn diese Communities nicht mehr benötigt werden, bleiben sie häufig dennoch aktiviert. Dies eröffnet einen Angriffspfad, zumal diese ungenutzten Sites in aller Regel nicht überwacht und auf Schwachstellen getestet werden.

Wie Ghost Sites entstehen

Typischerweise erstellen Unternehmen bei der Nutzung von Salesforce benutzerdefinierte Domains wie "partners.acme.org", die auf die entsprechende Community-Site ("partners.acme.org/00d400.live.siteforce.com") verweist. Wechselt das Unternehmen nun zu einem anderen Anbieter, möchte es in aller Regel die nutzerfreundliche Domain "partners.acme.org" weiterverwenden, die nun auf die vom neuen Anbieter gehostete Website verlinkt.

Doch beschränken sich viele Unternehmen hierbei auf die Änderung von DNS-Einträgen und entfernen weder die benutzerdefinierte Domäne in Salesforce, noch deaktivieren sie die Site. Somit besteht die Salesfoce-Site weiter mit allen potenziell sensitiven Mitteilungen, Geschäftsunterlagen und anderen geschäftlichen und persönlichen Informationen, die sie enthält – und die womöglich sogar weiter aktualisiert werden.

Zugriff auf sensitive Daten

Um an die Daten zu gelangen, müssen Angreifer die genaue interne Domäne kennen, die mit der noch bestehenden Salesforce-Site eines Unternehmens verbunden ist. Die Verwendung von Tools, die DNS-Einträge indizieren und archivieren wie etwa SecurityTrails erleichtert dabei das Identifizieren von Geisterseiten.

Diese Sites sind in Salesforce noch aktiv und somit unter den richtigen Umständen zugänglich. Zwar führt eine einfache GET-Anfrage zu einem Fehler, allerdings können Angreifer den Host-Header ändern: Dadurch wird Salesforce vorgetäuscht, dass die Website als "partners.acme.org/" aufgerufen wurde. Salesforce leitet die Angreifer so auf die Ghost Site weiter.

Die Sicherheitsforscher identifizierten bei ihrer Untersuchung zahlreiche verlassene Sites mit vertraulichen Informationen inklusive personenbezogener Daten und sensibler Geschäftsdaten, die sonst nicht zugänglich wären. Die offengelegten Daten beschränken sich dabei nicht nur auf alte Daten aus der Zeit, in der die Site genutzt wurde, sondern umfassen auch neue Datensätze, die aufgrund der Freigabekonfiguration in der Salesforce-Umgebung für den Gastbenutzer freigegeben wurden.

Geisterseiten austreiben

Um das Problem der Ghost Sites zu lösen, sollten Sites, die nicht mehr verwendet werden, stets deaktiviert werden. Es ist zudem wichtig, den Überblick über alle Salesforce-Sites und die Berechtigungen der jeweiligen Benutzer zu behalten – einschließlich Community- und Gastbenutzer. Die Varonis Threat Labs haben einen Leitfaden zum Schutz aktiver Salesforce-Communities vor Ausspähung und Datendiebstahl veröffentlicht.