O Varonis Threat Labs descobriu que “sites fantasmas” do Salesforce desativados incorretamente e sem manutenção permanecem acessíveis e vulneráveis a riscos. Ao manipular o cabeçalho do host, os agentes de ameaças podem obter acesso a PII confidenciais e dados comerciais.
Os sites Salesforce permitem criar comunidades personalizadas, facilitando que parceiros e clientes colaborem no ambiente Salesforce de uma empresa.
Porém, quando essas comunidades não são mais necessárias, muitas vezes são deixadas de lado, mas não desativadas. Como esses sites deixam de ser utilizados e mantidos, eles não são testados contra vulnerabilidades e os administradores não atualizam as medidas de segurança conforme as diretrizes mais recentes.
O Varonis Threat Labs descobriu que muitos desses sites Salesforce desativados incorretamente continuam extraindo dados novos e são facilmente encontrados, acessados e explorados por invasores. Chamamos essas Comunidades Salesforce abandonadas, desprotegidas e não monitoradas de “sites fantasmas”.
Neste artigo, mostraremos como esses sites fantasmas se manifestam, como localizá-los e como um invasor pode usar uma exploração simples para acessá-los.
A criação de sites fantasmas começa com nomes de domínio personalizados. Em vez de usar URLs internos desagradáveis, como “acmeorg.meu.site.com/parceiros, as empresas criam domínios personalizados para os parceiros navegarem em parceiros.acme.org. Isso é feito configurando o registro DNS para que “parceiros.acme.org” aponte para o site da comunidade Salesforce em “parceiros.acme.org.00d400.live.siteforce.com”.
Observe que o novo registro DNS deve ter uma entrada CNAME que aponte para seu FQDN, seguido pelo ID da organização e por.live.siteforce.com. Com o registro DNS alterado, os parceiros que visitam “parceiros.acme.org” poderão navegar no site Salesforce da Acme.
O problema começa quando a Acme decide escolher um novo fornecedor do Community Site.
Como qualquer outra tecnologia, as empresas podem substituir um Salesforce Experience Site por uma alternativa.
Posteriormente, a Acme modifica o registro DNS de “parceiros.acme.org” para apontar para um novo site que pode ser executado em seu ambiente AWS, por exemplo, em vez de “parceiros.acme.org.00d400.live.siteforce.com”.
Do ponto de vista dos usuários, o site do Salesfore desapareceu e uma nova página da comunidade está disponível, completamente desconectada do Salesforce, não sendo executada no ambiente e nenhuma integração óbvia detectável.
Os pesquisadores do Varonis Threat Labs descobriram que muitas empresas apenas modificam os registros DNS. Elas não removem o domínio personalizado do Salesforce, nem desativam o site. Em vez disso, o site continua existindo, extraindo dados e se tornando um site fantasma.
Agora que o domínio Acme não aponta mais para o Salesforce, simplesmente chamar endpoints, como o Aura, não funcionará.
Mas como os sites fantasmas ainda estão ativos no Salesforce, o domínio siteforce ainda é resolvido, o que significa que está disponível nas circunstâncias corretas. Uma solicitação GET simples resulta em erro — mas há outras maneiras de obter acesso.
Os invasores podem explorar esses sites simplesmente alterando o cabeçalho do host. Isso levaria o Salesforce a acreditar que o site foi acessado como https://parceiros.acme.org/ e que o Salesforce forneceria o site ao invasor.
Embora seja verdade que esses sites também possam ser acessados usando as URLs internas completas, essas URLs são difíceis de serem identificadas por um invasor externo. No entanto, usar ferramentas que indexam e arquivam registros DNS — como Security Trils e ferramentas semelhantes — facilita muito a identificação de sites fantasmas.
Além do risco, está o fato de que sites antigos e obsoletos são menos monitorados e, portanto, menos seguros, aumentando a facilidade de um ataque.
Nossa pesquisa encontrou muitos desses sites com dados confidenciais, incluindo PII e dados comerciais confidenciais que não estariam acessíveis de outra forma. Os dados expostos não se restringem apenas aos dados antigos de quando o site estava em uso, mas também inclui registros que foram compartilhados com o usuário convidado devido à configuração de compartilhamento em seu ambiente Salesforce.
Para resolver o problema dos sites fantasmas, e mitigar outras ameaças, os sites que não estão mais em uso devem ser desativados. É importante acompanhar todos os sites do Salesforce e as permissões de seus respectivos usuários, incluindo usuários da comunidade e convidados. O Varonis Threat Labs criou um guia para proteger suas comunidades ativas do Salesforce contra reconhecimento e roubo de dados, e você pode ler mais sobre como manter os dados confidenciais da plataforma seguros.
Aproveite e agende uma demonstração gratuita da nossa plataforma e saiba que a Varonis é adequada para sua empresa.