Blog Recherche sur les menaces

Sites fantômes : vol de données provenant de communautés Salesforce désactivées

Varonis Threat Labs a découvert des sites Salesforce « fantômes » incorrectement désactivés qui sont facilement détectés, accessibles et exploitables par les attaquants.
Nitay Bachrach
3 minute de lecture
Dernière mise à jour 19 août 2024

Contents

    Varonis Threat Labs a découvert que les « sites fantômes » Salesforce incorrectement désactivés et mal entretenus restent accessibles et vulnérables aux risques. En manipulant l’en-tête de l’hôte, les pirates peuvent accéder à des données à caractère personnel et à des données commerciales sensibles.

    Les sites Salesforce vous permettent de créer des communautés personnalisées, ce qui permet aux partenaires et aux clients de collaborer dans l’environnement Salesforce d’une entreprise.

    Lorsque ces communautés ne sont plus nécessaires, elles sont souvent mises de côté, mais pas désactivées. Comme ces sites inutilisés ne sont pas gérés, leurs vulnérabilités ne sont pas testées, et les administrateurs ne parviennent pas à mettre à jour les mesures de sécurité du site conformément aux nouvelles directives.

    Varonis Threat Labs a découvert que bon nombre de ces sites Salesforce incorrectement désactivés extraient encore de nouvelles données et sont facilement détectés, accessibles et exploitables par les attaquants. Nous avons appelé ces communautés Salesforce abandonnées, non protégées et non surveillées des « sites fantômes ».

    Dans cet article, nous allons vous montrer comment ces sites fantômes se manifestent, comment les localiser et comment un attaquant peut utiliser un simple exploit pour y accéder.

    Obtenez une évaluation gratuite des risques liés aux données

    D’où proviennent les sites fantômes ?

    La création d’un site fantôme commence par des noms de domaine personnalisés.

    Au lieu d’utiliser des URL internes peu attrayantes telles que « acmeorg.my.site.com/partners », les entreprises créent des domaines personnalisés afin que les partenaires puissent se rendre sur « partners.acme.org » à la place. Pour ce faire, il suffit de configurer l’enregistrement DNS de sorte que « partners.acme.org » pointe vers le charmant site communautaire Salesforce organisé à « partners.acme.org. 00d400.live.siteforce.com. »

    Notez que le nouvel enregistrement DNS doit comporter une entrée CNAME qui pointe vers votre FQDN, suivie de l’ID de l’organisation, suivie de live.siteforce.com. L’enregistrement DNS ayant changé, les partenaires visitant le site « partners.acme.org » pourront se rendre sur le site Salesforce d’Acme.

    Le problème commence quand Acme décide de choisir un nouveau fournisseur de site communautaire.

    Création d’un site fantôme

    Comme pour toute autre technologie, les entreprises peuvent remplacer un site Salesforce Experience par une alternative.

    Par la suite, Acme modifie l’enregistrement DNS de « partners.acme.org » pour pointer vers un nouveau site qui pourrait s’exécuter dans son environnement AWS, par exemple, au lieu de « partners.acme.org.00d400.live.siteforce.com. »

    Du point de vue des utilisateurs, le site Salesforce a disparu et une nouvelle page communautaire est disponible. Il se peut que la nouvelle page soit complètement déconnectée de Salesforce, qu’elle ne s’exécute pas dans l’environnement et qu’aucune intégration évidente ne soit détectable.

    Les chercheurs de Varonis Threat Labs ont découvert que de nombreuses entreprises arrêtaient de simplement modifier les enregistrements DNS. Ils ne suppriment pas le domaine personnalisé dans Salesforce ni ne désactivent le site. Au lieu de cela, le site continue d’exister, d’extraire des données et de devenir un site fantôme.

    Échange avec les sites fantômes

    Maintenant que le domaine d’Acme ne pointe plus vers Salesforce, le simple fait d’appeler des terminaux tels qu’Aura ne fonctionnera pas.aura-not-working-1

    aura-working-2

    Mais comme les sites fantômes sont toujours actifs dans Salesforce, le domaine siteforce résout toujours le problème, ce qui signifie qu’il est disponible dans les bonnes circonstances. Une simple requête GET entraîne une erreur, mais il existe un autre moyen d’y accéder.

    Les attaquants peuvent exploiter ces sites en modifiant simplement l’en-tête de l’hôte. Cela tromperait Salesforce en lui indiquant que le site a été consulté sous la forme https://partners.acme.org/ et Salesforce laisserait l’attaquant utiliser le site.

    regular-site-3

    S’il est vrai que ces sites sont également accessibles en utilisant les URL internes complètes, ces dernières sont difficiles à identifier pour un attaquant externe. Cependant, l’utilisation d’outils qui indexent et archivent les enregistrements DNS, tels que SecurityTrails et d’autres outils similaires, facilite grandement l’identification des sites fantômes.

    À ce risque s’ajoute le fait que les sites anciens et obsolètes sont moins entretenus et, par conséquent, moins sécurisés, ce qui augmente la facilité d’une attaque.

    Les secrets des sites fantômes

    Nos recherches ont montré de nombreux sites de ce type contenant des données confidentielles, notamment des données à caractère personnel et des données commerciales sensibles qui n’étaient pas accessibles autrement. Les données exposées ne se limitent pas aux seules données anciennes datant de la période pendant laquelle le site était utilisé, elles comprennent également les nouveaux enregistrements qui ont été partagés avec l’utilisateur invité en raison de la configuration de partage dans son environnement Salesforce.

    Neutralisation des sites fantômes

    Pour résoudre le problème des sites fantômes, et pour atténuer d’autres menaces, les sites qui ne sont plus utilisés devraient être désactivés. Il est important de suivre tous les sites Salesforce et les autorisations de leurs utilisateurs respectifs, y compris les utilisateurs communautaires et invités. Varonis Threat Labs a créé un guide pour protéger vos communautés Salesforce actives contre le repérage et le vol de données. Vous pouvez en savoir plus sur la protection des données Salesforce sensibles ici.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Nitay Bachrach
    Nitay Bachrach Nitay est un chercheur en sécurité basé à Tel Aviv, mais vous pouvez le rencontrer partout dans le monde. C'est un expert en sécurité du cloud, expérimenté dans les opérations de sécurité offensives et la rétro-ingénierie. Son expertise s’étend également aux dispositifs IoT, Linux et la sécurité des réseaux locaux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    varonis-annonce-l'intégration-de-salesforce-shield
    Varonis annonce l'intégration de Salesforce Shield
    varonis-annonce-l'intégration-de-salesforce-shield
    Nathan Coppinger
    13 septembre 2023
    Varonis s’intègre désormais à Salesforce Shield pour offrir une visibilité approfondie sur Salesforce et aider les entreprises à sécuriser leurs données stratégiques.
    comment-traiter-les-données-sensibles-dans-salesforce :-guide-de-classification-des-données
    Comment traiter les données sensibles dans Salesforce : guide de classification des données
    comment-traiter-les-données-sensibles-dans-salesforce :-guide-de-classification-des-données
    Megan Garza
    6 juin 2023
    Ben de Salesforce et l’équipe de Varonis s’associent pour discuter des bonnes pratiques de classification des données Salesforce.
    10 conseils-pour-rembourser-votre-dette-technique-salesforce
    10 conseils pour rembourser votre dette technique Salesforce
    10 conseils-pour-rembourser-votre-dette-technique-salesforce
    Lexi Croisdale
    22 juin 2023
    Découvrez les bonnes pratiques pour gérer et analyser les autorisations dans Salesforce et comment la recherche de solutions rapides peut compromettre les données de votre entreprise.
    comment-varonis-permet-aux-admins-salesforce-de-gagner-des-heures-chaque-jour
    Comment Varonis permet aux admins Salesforce de gagner des heures chaque jour
    comment-varonis-permet-aux-admins-salesforce-de-gagner-des-heures-chaque-jour
    Nathan Coppinger
    8 mars 2023
    Varonis fournit des fonctionnalités de pointe en matière de gestion de Salesforce et d’implications des droits pour faire gagner du temps aux admins