Ghost Sites: Datendiebstahl aus deaktivierten Salesforce-Communitys

Varonis Threat Labs hat entdeckt, dass inkorrekt deaktivierte „Ghost Sites“ auf Salesforce von Angreifern leicht gefunden, darauf zugegriffen und mit Exploits ausgenutzt werden können.
Nitay Bachrach
2 minute gelesen
Letzte aktualisierung 15. September 2023

Varonis Threat Labs hat herausgefunden, dass inkorrekt deaktivierte und nicht gewartete „Ghost Sites“ auf Salesforce weiter zugänglich bleiben und anfällig für Angriffe sind. Durch Manipulation des Host-Headers können sich Bedrohungsakteure Zugriff auf sensible personenbezogene und Geschäftsdaten verschaffen.

Mit Salesforce Sites lassen sich benutzerdefinierte Communitys erstellen, damit Partner und Kunden innerhalb der Salesforce-Umgebung des eigenen Unternehmens zusammenarbeiten können.

Wenn diese Communitys anschließend nicht mehr benötigt werden, werden sie oft stillgelegt, aber nicht deaktiviert. Da diese ungenutzten Sites nicht gewartet werden, werden sie auch nicht auf Schwachstellen getestet. Die Administratoren führen dann auch keine Updates an den Sicherheitsmaßnahmen der Site durch anhand neuerer Richtlinien durch.

Varonis Threat Labs hat herausgefunden, dass viele solche inkorrekt deaktivierten Salesforce Sites weiterhin neue Daten abrufen. Angreifer können sie leicht finden, darauf zugreifen und Exploits ausnutzen. Wir bezeichnen solche verlassenen, ungeschützten und nicht überwachten Salesforce-Communitys als „Ghost Sites“.

In diesem Blog zeigen wir Ihnen, was diese Ghost Sites sind, wie Sie sie aufspüren können und wie Angreifer mit einfachen Exploits auf sie zugreifen können.

Sichern Die sich Ihre Datenrisikoprüfung gratis

Wie entstehen Ghost Sites?

Ghost Sites fangen immer mit benutzerdefinierten Domainnamen an.

Anstatt unansehnliche interne URLs wie „acmeorg.my.site.com/partners“ zu verwenden, legen Unternehmen benutzerdefinierte Domains an. So können ihre Partner beispielsweise auf „partner.firma.org“ zugreifen. Das funktioniert, indem der DNS-Eintrag entsprechend konfiguriert wird. Dann leitet die Adresse „partner.firma.org“ auf die schöne, kuratierte Salesforce Community Site unter „partner.firma.org.00d400.live.siteforce.com.“ weiter.

Beachten Sie, dass der neue DNS-Eintrag einen CNAME-Eintrag haben sollte, der auf Ihren FQDN verweist, gefolgt von der Organisations-ID, gefolgt von „live.siteforce.com“. Da der DNS-Eintrag geändert wurde, gelangen Partner, die „partner.firma.org“ eingeben, direkt auf die Salesforce Site der Firma.

Schwierig wird es dann, wenn die Firma beschließt, den Anbieter für seine Community-Site zu wechseln.

Wie eine Ghost Site entsteht

Wie bei jeder anderen Technologie könnten Unternehmen eine Salesforce Experience Site durch eine Alternative ersetzen.

Die Firma ändert dann den DNS-Eintrag von „partner.firma.org“ so, dass er auf eine neue Site verweist, die beispielsweise in ihrer AWS-Umgebung ausgeführt wird, anstelle von „partner.firma.org.00d400.live.siteforce.com“.

Aus Sicht der Benutzer ist die Salesforce Site verschwunden und die neue Community-Seite ist verfügbar. Die neue Seite ist möglicherweise vollständig von Salesforce getrennt, läuft nicht in derselben Umgebung und es sind keine offensichtlichen Integrationen erkennbar.

Die Varonis Threat Labs haben jedoch herausgefunden, dass viele Unternehmen lediglich ihre DNS-Einträge ändern. Sie entfernen weder die benutzerdefinierte Domain in Salesforce noch deaktivieren sie die Site. Stattdessen existiert diese auch weiterhin, ruft Daten ab und wird zu einer „Ghost Site“.

Mit Ghost Sites kommunizieren

Da die Domain der Firma nun nicht mehr auf Salesforce verweist, lassen sich Endpunkte wie Aura nicht mehr einfach aufrufen.aura-funktioniert-nicht-1

aura-funktioniert-2

Da die Ghost Site in Salesforce jedoch nach wie vor aktiv ist, wird die Siteforce-Domain weiterhin aufgelöst – sie ist also gegebenenfalls noch verfügbar. Eine einfache GET-Anfrage gibt einen Fehler zurück. Es existiert jedoch eine andere Möglichkeit, Zugriff zu erhalten.

Angreifer können solche Sites jedoch mit einem Exploit ausnutzen, indem sie einfach den Host-Header ändern. Dadurch glaubt Salesforce, dass über https://partner.firma.org/ auf die Site zugegriffen wurde und gibt dem Angreifer Zugang dazu.

reguläre-site-3

Nun sind solche Sites zwar über die vollständige interne URL zugänglich, aber diese URL ist für einen externen Angreifer schwer zu finden. Mithilfe von Tools, die DNS-Einträge indizieren und archivieren – beispielsweise SecurityTrails und ähnliche Tools –, können Ghost Sites jedoch relativ einfach gefunden werden.

Hinzu kommt, dass alte und nicht mehr benutzte Websites weniger gewartet werden und daher weniger sicher sind, was einen Angriff noch einfacher macht.

Geheimnisse von Ghost Sites

Unsere Nachforschungen ergaben, dass es viele solcher Sites mit vertraulichen Daten gibt, einschließlich personenbezogener Daten und sensibler Geschäftsdaten, die sonst nicht zugänglich sind. Dabei sind nicht nur Daten aus der Zeit offengelegt, als die Site noch genutzt wurde. Es sind auch neue Datensätze zu finden, die aufgrund der Freigabekonfiguration in der Salesforce-Umgebung mit Gastbenutzern geteilt werden.

Exorzismus von Ghost Sites

Um das Problem der Ghost Sites zu lösen – und um andere Bedrohungen abzuwehren –, sollten Sites, die nicht mehr genutzt werden, deaktiviert werden. Es ist wichtig, den Überblick über alle Salesforce-Sites und die Berechtigungen ihrer jeweiligen Benutzer zu behalten – einschließlich Community- und Gastbenutzern. Varonis Threat Labs hat einen Leitfaden zum Schutz Ihrer aktiven Salesforce-Communitys vor Spionage und Datendiebstahl erstellt. Weitere Informationen zum Schutz vertraulicher Salesforce-Daten finden Sie hier.

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

crosstalk-und-secret-agent:-zwei-angriffsvektoren-auf-oktas-identity-suite
CrossTalk und Secret Agent: zwei Angriffsvektoren auf Oktas Identity Suite
Varonis Threat Labs hat zwei Angriffsvektoren auf Oktas Identity Suite entdeckt und offengelegt: CrossTalk und Secret Agent.
varonis-threat-labs-entdecken-sqli--und-zugriffsschwachstellen-in-zendesk
Varonis Threat Labs entdecken SQLi- und Zugriffsschwachstellen in Zendesk
Varonis Threat Labs haben eine Schwachstelle für SQL-Injection und für den logischen Zugriff in Zendesk Explore gefunden, dem Berichts- und Analytics-Dienst der beliebten Kundenservice-Lösung Zendesk.
entdeckung-von-sicherheitslücken-in-outlook-und-neue-möglichkeiten,-ntlm-hashes-zu-leaken
Entdeckung von Sicherheitslücken in Outlook und neue Möglichkeiten, NTLM-Hashes zu leaken
Varonis Threat Labs hat einen neuen Outlook-Exploit und drei neue Möglichkeiten entdeckt, auf NTLM-v2-Hash-Passwörter zuzugreifen.
ransomware-jahresrückblick-2021
Ransomware-Jahresrückblick 2021
In diesem Beitrag erläutern wir fünf wichtige Ransomware-Trends im Jahr 2021.