Ghost Sites: Datendiebstahl aus deaktivierten Salesforce-Communitys

Varonis Threat Labs hat entdeckt, dass inkorrekt deaktivierte „Ghost Sites“ auf Salesforce von Angreifern leicht gefunden, darauf zugegriffen und mit Exploits ausgenutzt werden können.
Nitay Bachrach
2 minute gelesen
Letzte aktualisierung 15. September 2023

Varonis Threat Labs hat herausgefunden, dass inkorrekt deaktivierte und nicht gewartete „Ghost Sites“ auf Salesforce weiter zugänglich bleiben und anfällig für Angriffe sind. Durch Manipulation des Host-Headers können sich Bedrohungsakteure Zugriff auf sensible personenbezogene und Geschäftsdaten verschaffen.

Mit Salesforce Sites lassen sich benutzerdefinierte Communitys erstellen, damit Partner und Kunden innerhalb der Salesforce-Umgebung des eigenen Unternehmens zusammenarbeiten können.

Wenn diese Communitys anschließend nicht mehr benötigt werden, werden sie oft stillgelegt, aber nicht deaktiviert. Da diese ungenutzten Sites nicht gewartet werden, werden sie auch nicht auf Schwachstellen getestet. Die Administratoren führen dann auch keine Updates an den Sicherheitsmaßnahmen der Site durch anhand neuerer Richtlinien durch.

Varonis Threat Labs hat herausgefunden, dass viele solche inkorrekt deaktivierten Salesforce Sites weiterhin neue Daten abrufen. Angreifer können sie leicht finden, darauf zugreifen und Exploits ausnutzen. Wir bezeichnen solche verlassenen, ungeschützten und nicht überwachten Salesforce-Communitys als „Ghost Sites“.

In diesem Blog zeigen wir Ihnen, was diese Ghost Sites sind, wie Sie sie aufspüren können und wie Angreifer mit einfachen Exploits auf sie zugreifen können.

Sichern Die sich Ihre Datenrisikoprüfung gratis

Wie entstehen Ghost Sites?

Ghost Sites fangen immer mit benutzerdefinierten Domainnamen an.

Anstatt unansehnliche interne URLs wie „acmeorg.my.site.com/partners“ zu verwenden, legen Unternehmen benutzerdefinierte Domains an. So können ihre Partner beispielsweise auf „partner.firma.org“ zugreifen. Das funktioniert, indem der DNS-Eintrag entsprechend konfiguriert wird. Dann leitet die Adresse „partner.firma.org“ auf die schöne, kuratierte Salesforce Community Site unter „partner.firma.org.00d400.live.siteforce.com.“ weiter.

Beachten Sie, dass der neue DNS-Eintrag einen CNAME-Eintrag haben sollte, der auf Ihren FQDN verweist, gefolgt von der Organisations-ID, gefolgt von „live.siteforce.com“. Da der DNS-Eintrag geändert wurde, gelangen Partner, die „partner.firma.org“ eingeben, direkt auf die Salesforce Site der Firma.

Schwierig wird es dann, wenn die Firma beschließt, den Anbieter für seine Community-Site zu wechseln.

Wie eine Ghost Site entsteht

Wie bei jeder anderen Technologie könnten Unternehmen eine Salesforce Experience Site durch eine Alternative ersetzen.

Die Firma ändert dann den DNS-Eintrag von „partner.firma.org“ so, dass er auf eine neue Site verweist, die beispielsweise in ihrer AWS-Umgebung ausgeführt wird, anstelle von „partner.firma.org.00d400.live.siteforce.com“.

Aus Sicht der Benutzer ist die Salesforce Site verschwunden und die neue Community-Seite ist verfügbar. Die neue Seite ist möglicherweise vollständig von Salesforce getrennt, läuft nicht in derselben Umgebung und es sind keine offensichtlichen Integrationen erkennbar.

Die Varonis Threat Labs haben jedoch herausgefunden, dass viele Unternehmen lediglich ihre DNS-Einträge ändern. Sie entfernen weder die benutzerdefinierte Domain in Salesforce noch deaktivieren sie die Site. Stattdessen existiert diese auch weiterhin, ruft Daten ab und wird zu einer „Ghost Site“.

Mit Ghost Sites kommunizieren

Da die Domain der Firma nun nicht mehr auf Salesforce verweist, lassen sich Endpunkte wie Aura nicht mehr einfach aufrufen.aura-funktioniert-nicht-1

aura-funktioniert-2

Da die Ghost Site in Salesforce jedoch nach wie vor aktiv ist, wird die Siteforce-Domain weiterhin aufgelöst – sie ist also gegebenenfalls noch verfügbar. Eine einfache GET-Anfrage gibt einen Fehler zurück. Es existiert jedoch eine andere Möglichkeit, Zugriff zu erhalten.

Angreifer können solche Sites jedoch mit einem Exploit ausnutzen, indem sie einfach den Host-Header ändern. Dadurch glaubt Salesforce, dass über https://partner.firma.org/ auf die Site zugegriffen wurde und gibt dem Angreifer Zugang dazu.

reguläre-site-3

Nun sind solche Sites zwar über die vollständige interne URL zugänglich, aber diese URL ist für einen externen Angreifer schwer zu finden. Mithilfe von Tools, die DNS-Einträge indizieren und archivieren – beispielsweise SecurityTrails und ähnliche Tools –, können Ghost Sites jedoch relativ einfach gefunden werden.

Hinzu kommt, dass alte und nicht mehr benutzte Websites weniger gewartet werden und daher weniger sicher sind, was einen Angriff noch einfacher macht.

Geheimnisse von Ghost Sites

Unsere Nachforschungen ergaben, dass es viele solcher Sites mit vertraulichen Daten gibt, einschließlich personenbezogener Daten und sensibler Geschäftsdaten, die sonst nicht zugänglich sind. Dabei sind nicht nur Daten aus der Zeit offengelegt, als die Site noch genutzt wurde. Es sind auch neue Datensätze zu finden, die aufgrund der Freigabekonfiguration in der Salesforce-Umgebung mit Gastbenutzern geteilt werden.

Exorzismus von Ghost Sites

Um das Problem der Ghost Sites zu lösen – und um andere Bedrohungen abzuwehren –, sollten Sites, die nicht mehr genutzt werden, deaktiviert werden. Es ist wichtig, den Überblick über alle Salesforce-Sites und die Berechtigungen ihrer jeweiligen Benutzer zu behalten – einschließlich Community- und Gastbenutzern. Varonis Threat Labs hat einen Leitfaden zum Schutz Ihrer aktiven Salesforce-Communitys vor Spionage und Datendiebstahl erstellt. Weitere Informationen zum Schutz vertraulicher Salesforce-Daten finden Sie hier.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

wir-stellen-vor:-datadvantage-cloud-–-datenzentrierte-sicherheit-für-saas-und-iaas
Wir stellen vor: DatAdvantage Cloud – datenzentrierte Sicherheit für SaaS und IaaS
Heute freuen wir uns, den Early Access auf DatAdvantage Cloud ankündigen zu können. Unsere neue Cloud-gehostete Lösung überträgt den datenzentrierten Sicherheitsansatz von Varonis auf AWS, Box, GitHub, Google Drive, Jira,...
varonis-datenschutzplattform-im-gartner-2017-market-guide-für-datenzentrische-audit--und-schutzlösungen-gelistet
Varonis Datenschutzplattform im Gartner 2017 Market Guide für Datenzentrische Audit- und Schutzlösungen gelistet
2005 hatte unser Gründer die Vision, eine Lösung für den Schutz von Daten zu schaffen, von denen Organisationen die größten Mengen aber das geringste Wissen haben – Dateien und E-Mails. Aufbauend...
eu-dsgvo:-rechte-in-bezug-auf-daten-und-sicherheitsverpflichtungen-[infografik]
EU-DSGVO: Rechte in Bezug auf Daten und Sicherheitsverpflichtungen [INFOGRAFIK]
Verbraucherrechte, Datenschutzverpflichtungen und Reaktion auf Verstöße Die Datenschutz-Grundverordnung der EU (DSGVO) ist keine leichte Lektüre. Trotzdem lassen sich die grundlegenden Ideen des Gesetzes in einer informativen Infografik zusammenfassen. Wir haben...
der-unterschied-zwischen-windows-server-active-directory-und-azure-ad
Der Unterschied zwischen Windows Server Active Directory und Azure AD
Es gab einmal eine Zeit, als IT-Profis aus Angst vor Datenschutzverletzung und gefährdeter Anmeldeinformationen zögerten, Daten in die Cloud zu verlagern. Schließlich möchte kein Unternehmen aufgrund von Datenschutzverletzungen in die...