Sites fantômes : vol de données provenant de communautés Salesforce désactivées

Varonis Threat Labs a découvert des sites Salesforce « fantômes » incorrectement désactivés qui sont facilement détectés, accessibles et exploitables par les attaquants.
Nitay Bachrach
3 minute de lecture
Dernière mise à jour 15 septembre 2023

Varonis Threat Labs a découvert que les « sites fantômes » Salesforce incorrectement désactivés et mal entretenus restent accessibles et vulnérables aux risques. En manipulant l’en-tête de l’hôte, les pirates peuvent accéder à des données à caractère personnel et à des données commerciales sensibles.

Les sites Salesforce vous permettent de créer des communautés personnalisées, ce qui permet aux partenaires et aux clients de collaborer dans l’environnement Salesforce d’une entreprise.

Lorsque ces communautés ne sont plus nécessaires, elles sont souvent mises de côté, mais pas désactivées. Comme ces sites inutilisés ne sont pas gérés, leurs vulnérabilités ne sont pas testées, et les administrateurs ne parviennent pas à mettre à jour les mesures de sécurité du site conformément aux nouvelles directives.

Varonis Threat Labs a découvert que bon nombre de ces sites Salesforce incorrectement désactivés extraient encore de nouvelles données et sont facilement détectés, accessibles et exploitables par les attaquants. Nous avons appelé ces communautés Salesforce abandonnées, non protégées et non surveillées des « sites fantômes ».

Dans cet article, nous allons vous montrer comment ces sites fantômes se manifestent, comment les localiser et comment un attaquant peut utiliser un simple exploit pour y accéder.

Obtenez une évaluation gratuite des risques liés aux données

D’où proviennent les sites fantômes ?

La création d’un site fantôme commence par des noms de domaine personnalisés.

Au lieu d’utiliser des URL internes peu attrayantes telles que « acmeorg.my.site.com/partners », les entreprises créent des domaines personnalisés afin que les partenaires puissent se rendre sur « partners.acme.org » à la place. Pour ce faire, il suffit de configurer l’enregistrement DNS de sorte que « partners.acme.org » pointe vers le charmant site communautaire Salesforce organisé à « partners.acme.org. 00d400.live.siteforce.com. »

Notez que le nouvel enregistrement DNS doit comporter une entrée CNAME qui pointe vers votre FQDN, suivie de l’ID de l’organisation, suivie de live.siteforce.com. L’enregistrement DNS ayant changé, les partenaires visitant le site « partners.acme.org » pourront se rendre sur le site Salesforce d’Acme.

Le problème commence quand Acme décide de choisir un nouveau fournisseur de site communautaire.

Création d’un site fantôme

Comme pour toute autre technologie, les entreprises peuvent remplacer un site Salesforce Experience par une alternative.

Par la suite, Acme modifie l’enregistrement DNS de « partners.acme.org » pour pointer vers un nouveau site qui pourrait s’exécuter dans son environnement AWS, par exemple, au lieu de « partners.acme.org.00d400.live.siteforce.com. »

Du point de vue des utilisateurs, le site Salesforce a disparu et une nouvelle page communautaire est disponible. Il se peut que la nouvelle page soit complètement déconnectée de Salesforce, qu’elle ne s’exécute pas dans l’environnement et qu’aucune intégration évidente ne soit détectable.

Les chercheurs de Varonis Threat Labs ont découvert que de nombreuses entreprises arrêtaient de simplement modifier les enregistrements DNS. Ils ne suppriment pas le domaine personnalisé dans Salesforce ni ne désactivent le site. Au lieu de cela, le site continue d’exister, d’extraire des données et de devenir un site fantôme.

Échange avec les sites fantômes

Maintenant que le domaine d’Acme ne pointe plus vers Salesforce, le simple fait d’appeler des terminaux tels qu’Aura ne fonctionnera pas.aura-not-working-1

aura-working-2

Mais comme les sites fantômes sont toujours actifs dans Salesforce, le domaine siteforce résout toujours le problème, ce qui signifie qu’il est disponible dans les bonnes circonstances. Une simple requête GET entraîne une erreur, mais il existe un autre moyen d’y accéder.

Les attaquants peuvent exploiter ces sites en modifiant simplement l’en-tête de l’hôte. Cela tromperait Salesforce en lui indiquant que le site a été consulté sous la forme https://partners.acme.org/ et Salesforce laisserait l’attaquant utiliser le site.

regular-site-3

S’il est vrai que ces sites sont également accessibles en utilisant les URL internes complètes, ces dernières sont difficiles à identifier pour un attaquant externe. Cependant, l’utilisation d’outils qui indexent et archivent les enregistrements DNS, tels que SecurityTrails et d’autres outils similaires, facilite grandement l’identification des sites fantômes.

À ce risque s’ajoute le fait que les sites anciens et obsolètes sont moins entretenus et, par conséquent, moins sécurisés, ce qui augmente la facilité d’une attaque.

Les secrets des sites fantômes

Nos recherches ont montré de nombreux sites de ce type contenant des données confidentielles, notamment des données à caractère personnel et des données commerciales sensibles qui n’étaient pas accessibles autrement. Les données exposées ne se limitent pas aux seules données anciennes datant de la période pendant laquelle le site était utilisé, elles comprennent également les nouveaux enregistrements qui ont été partagés avec l’utilisateur invité en raison de la configuration de partage dans son environnement Salesforce.

Neutralisation des sites fantômes

Pour résoudre le problème des sites fantômes, et pour atténuer d’autres menaces, les sites qui ne sont plus utilisés devraient être désactivés. Il est important de suivre tous les sites Salesforce et les autorisations de leurs utilisateurs respectifs, y compris les utilisateurs communautaires et invités. Varonis Threat Labs a créé un guide pour protéger vos communautés Salesforce actives contre le repérage et le vol de données. Vous pouvez en savoir plus sur la protection des données Salesforce sensibles ici.

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

des-fuites-sur-les-serveurs-de-la-nouvelle-zélande-démontrent-la-nécessité-de-la-gouvernance-des-informations
Des fuites sur les serveurs de la Nouvelle-Zélande démontrent la nécessité de la gouvernance des informations
Comment un rapport de permissions aurait pu empêcher les fuites des serveurs néo-zélandais Cette semaine, Keith Ng a écrit un article sur son blog à propos d’une énorme faille de...
comment-fonctionne-l’évaluation-des-risques-liés-aux-données-de-varonis
Comment fonctionne l’évaluation des risques liés aux données de Varonis
Découvrez comment fonctionne l’évaluation gratuite des risques liés aux données de Varonis et ce qui en fait la plus avancée du secteur.
découverte-des-vulnérabilités-outlook-et-nouvelles-façons-de-divulguer-les-hachages-ntlm
Découverte des vulnérabilités Outlook et nouvelles façons de divulguer les hachages NTLM
Le laboratoire de détection des menaces de Varonis a découvert un nouvel exploit Outlook et trois nouvelles façons d’accéder aux mots de passe hachés NTLM v2.
guide-des-règles-yara-:-apprendre-à-utiliser-cet-outil-de-recherche-de-logiciels-malveillants
Guide des règles YARA : Apprendre à utiliser cet outil de recherche de logiciels malveillants
Les règles YARA sont utilisées pour classer et identifier des échantillons de malwares en créant des descriptions de familles de malware basées sur des modèles textuels ou binaires.