Varonis Threat Labs a découvert que les « sites fantômes » Salesforce incorrectement désactivés et mal entretenus restent accessibles et vulnérables aux risques. En manipulant l’en-tête de l’hôte, les pirates peuvent accéder à des données à caractère personnel et à des données commerciales sensibles.
Les sites Salesforce vous permettent de créer des communautés personnalisées, ce qui permet aux partenaires et aux clients de collaborer dans l’environnement Salesforce d’une entreprise.
Lorsque ces communautés ne sont plus nécessaires, elles sont souvent mises de côté, mais pas désactivées. Comme ces sites inutilisés ne sont pas gérés, leurs vulnérabilités ne sont pas testées, et les administrateurs ne parviennent pas à mettre à jour les mesures de sécurité du site conformément aux nouvelles directives.
Varonis Threat Labs a découvert que bon nombre de ces sites Salesforce incorrectement désactivés extraient encore de nouvelles données et sont facilement détectés, accessibles et exploitables par les attaquants. Nous avons appelé ces communautés Salesforce abandonnées, non protégées et non surveillées des « sites fantômes ».
Dans cet article, nous allons vous montrer comment ces sites fantômes se manifestent, comment les localiser et comment un attaquant peut utiliser un simple exploit pour y accéder.
Obtenez une évaluation gratuite des risques liés aux données
D’où proviennent les sites fantômes ?
La création d’un site fantôme commence par des noms de domaine personnalisés.
Au lieu d’utiliser des URL internes peu attrayantes telles que « acmeorg.my.site.com/partners », les entreprises créent des domaines personnalisés afin que les partenaires puissent se rendre sur « partners.acme.org » à la place. Pour ce faire, il suffit de configurer l’enregistrement DNS de sorte que « partners.acme.org » pointe vers le charmant site communautaire Salesforce organisé à « partners.acme.org. 00d400.live.siteforce.com. »
Notez que le nouvel enregistrement DNS doit comporter une entrée CNAME qui pointe vers votre FQDN, suivie de l’ID de l’organisation, suivie de live.siteforce.com. L’enregistrement DNS ayant changé, les partenaires visitant le site « partners.acme.org » pourront se rendre sur le site Salesforce d’Acme.
Le problème commence quand Acme décide de choisir un nouveau fournisseur de site communautaire.
Création d’un site fantôme
Comme pour toute autre technologie, les entreprises peuvent remplacer un site Salesforce Experience par une alternative.
Par la suite, Acme modifie l’enregistrement DNS de « partners.acme.org » pour pointer vers un nouveau site qui pourrait s’exécuter dans son environnement AWS, par exemple, au lieu de « partners.acme.org.00d400.live.siteforce.com. »
Du point de vue des utilisateurs, le site Salesforce a disparu et une nouvelle page communautaire est disponible. Il se peut que la nouvelle page soit complètement déconnectée de Salesforce, qu’elle ne s’exécute pas dans l’environnement et qu’aucune intégration évidente ne soit détectable.
Les chercheurs de Varonis Threat Labs ont découvert que de nombreuses entreprises arrêtaient de simplement modifier les enregistrements DNS. Ils ne suppriment pas le domaine personnalisé dans Salesforce ni ne désactivent le site. Au lieu de cela, le site continue d’exister, d’extraire des données et de devenir un site fantôme.
Échange avec les sites fantômes
Maintenant que le domaine d’Acme ne pointe plus vers Salesforce, le simple fait d’appeler des terminaux tels qu’Aura ne fonctionnera pas.
Mais comme les sites fantômes sont toujours actifs dans Salesforce, le domaine siteforce résout toujours le problème, ce qui signifie qu’il est disponible dans les bonnes circonstances. Une simple requête GET entraîne une erreur, mais il existe un autre moyen d’y accéder.
Les attaquants peuvent exploiter ces sites en modifiant simplement l’en-tête de l’hôte. Cela tromperait Salesforce en lui indiquant que le site a été consulté sous la forme https://partners.acme.org/ et Salesforce laisserait l’attaquant utiliser le site.
S’il est vrai que ces sites sont également accessibles en utilisant les URL internes complètes, ces dernières sont difficiles à identifier pour un attaquant externe. Cependant, l’utilisation d’outils qui indexent et archivent les enregistrements DNS, tels que SecurityTrails et d’autres outils similaires, facilite grandement l’identification des sites fantômes.
À ce risque s’ajoute le fait que les sites anciens et obsolètes sont moins entretenus et, par conséquent, moins sécurisés, ce qui augmente la facilité d’une attaque.
Les secrets des sites fantômes
Nos recherches ont montré de nombreux sites de ce type contenant des données confidentielles, notamment des données à caractère personnel et des données commerciales sensibles qui n’étaient pas accessibles autrement. Les données exposées ne se limitent pas aux seules données anciennes datant de la période pendant laquelle le site était utilisé, elles comprennent également les nouveaux enregistrements qui ont été partagés avec l’utilisateur invité en raison de la configuration de partage dans son environnement Salesforce.
Neutralisation des sites fantômes
Pour résoudre le problème des sites fantômes, et pour atténuer d’autres menaces, les sites qui ne sont plus utilisés devraient être désactivés. Il est important de suivre tous les sites Salesforce et les autorisations de leurs utilisateurs respectifs, y compris les utilisateurs communautaires et invités. Varonis Threat Labs a créé un guide pour protéger vos communautés Salesforce actives contre le repérage et le vol de données. Vous pouvez en savoir plus sur la protection des données Salesforce sensibles ici.
