Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sites fantômes : Varonis Threat Labs découvre des vols de données dans des groupes Salesforce inactifs

juin 2023 par Varonis

Varonis Threat Labs a découvert que des sites Salesforce, incorrectement désactivés, restent accessibles et vulnérables aux risques. On parle alors de « sites fantômes »

Varonis Threat Labs a découvert que les acteurs de la menace peuvent, en manipulant l’en-tête de l’hôte, accéder à des informations confidentielles et à des données commerciales sensibles.

Ces sites Salesforce permettent d’animer des communautés. Il est possible de créer des groupes personnalisés, ce qui permet aux associés et aux clients de travailler conjointement, dans un environnement Salesforce d’entreprise.

Toutefois, quand ces groupes ne sont plus utiles, ils sont souvent laissés à l’abandon, mais pas désactivés. Ces sites inactifs non gérés ne font l’objet d’aucuns tests de détection de vulnérabilités et les administrateurs ne mettent plus à jour les mesures de sécurité du site conformément aux nouvelles directives.

Varonis Threat Labs a découvert qu’un grand nombre de ces sites Salesforce mal désactivés continuent d’extraire de nouvelles données et que les pirates n’ont aucune difficulté à les trouver, les consulter et à les exploiter.

D’où viennent ces sites fantômes ?

Pour créer un site fantôme, il faut commencer par personnaliser les noms de domaine.

Au lieu d’utiliser des URL internes peu attrayantes comme « acmeorg.my.site.com/partners », les entreprises créent des domaines personnalisés pour que les associés puissent naviguer sur « partners.acme.org ». Pour ce faire, il suffit de configurer l’enregistrement DNS de sorte que « partners.acme.org » pointe vers le joli site de la communauté Salesforce à l’adresse « partners.acme.org. 00d400.live.siteforce.com ».

Le nouvel enregistrement DNS doit comporter une entrée CNAME qui pointe vers votre FQDN, suivi de l’identifiant de l’entreprise, puis de .live.siteforce.com. Une fois l’enregistrement DNS modifié, les partenaires qui se rendent sur « partners.acme.org » pourront consulter le site Salesforce d’Acme.

Les problèmes commencent lorsqu’Acme décide de choisir un nouveau prestataire pour son site communautaire.

Naissance d’un site fantôme

À l’instar de toute forme de technologie, les entreprises sont susceptibles de remplacer un site d’expérience Salesforce par un autre site.

Ensuite, Acme modifie l’enregistrement DNS de « partners.acme.org » pour qu’il soit dirigé vers un nouveau site fonctionnant dans leur environnement AWS, par exemple, au lieu de « partners.acme.org.00d400.live.siteforce.com ».

Pour les utilisateurs, ce site Salesforce n’existe plus et laisse place à une nouvelle page communautaire. Il est possible que cette nouvelle page soit complètement indépendante de Salesforce, qu’elle ne fonctionne pas dans cet environnement et qu’aucune intégration évidente ne soit apparente.

Les chercheurs de Varonis Threat Labs ont découvert que de nombreuses entreprises se limitent à effectuer des modifications des enregistrements DNS. Elles omettent souvent de supprimer le domaine personnalisé dans Salesforce et de désactiver le site correspondant. Au lieu de cela, le site continue d’exister, continue d’extraire des données et devient pratiquement fantôme.

Parler avec les sites fantômes

Maintenant que le domaine d’Acme n’est plus redirigé vers Salesforce, l’appel aux points d’extrémité tels que « Aura » ne fonctionnera tout simplement plus.

Cependant, étant donné que les sites fantômes restent actifs dans Salesforce, la résolution du domaine « siteforce » s’effectue correctement, ce qui signifie qu’il est accessible sous certaines conditions. Effectivement, une simple requête GET peut aboutir à une erreur, mais une autre méthode existe pour accéder au site.

Les attaquants peuvent exploiter ces sites en modifiant simplement l’en-tête de l’hôte. Dans ce scénario, Salesforce est induit à croire que le site a été consulté en utilisant l’URL https://partners.acme.org/ et donc il servira le site à l’attaquant, qui peut ainsi obtenir un accès non autorisé aux fonctionnalités et aux données du site.

Effectivement, bien que ces sites soient accessibles via des URL internes complètes, ces dernières sont difficiles à identifier pour un attaquant externe. Toutefois, l’utilisation d’outils d’indexation et d’archivage des enregistrements DNS tels que SecurityTrails et d’autres outils similaires peut grandement faciliter l’identification des sites fantômes.

Plus les sites anciens et obsolètes sont négligés et mal entretenus, plus ils deviennent vulnérables aux attaques.

Les secrets des sites fantômes

Grâce à nos recherches, nous avons identifié un grand nombre de sites de cette nature qui contiennent des données confidentielles, notamment des informations personnelles et des données commerciales sensibles, qui autrement n’étaient pas accessibles. Les données exposées ne se restreignent pas uniquement aux anciennes informations datant de l’époque où le site était utilisé. Elles englobent également de nouvelles données qui ont été partagées avec l’utilisateur invité en raison de la configuration de partage dans son environnement Salesforce.

Exorciser les sites fantômes

Pour remédier au problème des sites fantômes et atténuer d’autres menaces, il est crucial de désactiver les sites qui ne sont plus utilisés. Il est crucial de veiller à la gestion continue de tous les sites Salesforce et des autorisations accordées à leurs utilisateurs respectifs, qu’il s’agisse des utilisateurs de groupes ou des utilisateurs invités.


Voir les articles précédents

    

Voir les articles suivants