Het Incident Response Team van Computest Security heeft een forse toename gesignaleerd in het misbruik van kwetsbaarheden door cybercriminelen in de configuratie van Salesforce-systemen. Hiermee kunnen zij toegang krijgen tot de applicatie en daarbij mogelijk grote hoeveelheden gevoelige data buitmaken. Bedrijven die met de systemen werken lopen hiermee ernstig risico op een datalek. Het advies is om zo snel mogelijk de instellingen te controleren en aan te passen en de suggesties voor het versterken van de security van Salesforce op te volgen.
Om de kwetsbaarheden te misbruiken benutten cybercriminelen gestolen inloggegevens die zijn verkregen door de installatie van malware of via phishing-aanvallen. Vervolgens komen zij via een standaard Salesforce-component, de DataloaderPartnerUI, eenvoudig bij de data. Het component geeft gebruikers toegang tot API’s zonder dat multi-factor authenticatie vereist is. Hiermee is het echter ook mogelijk om relatief eenvoudig op grote schaal data uit de systemen te ontvreemden. Het Incident Respons Team van Computest Security geeft aan dat het opvallend is dat dit een standaard instelling is in de Salesforce-applicaties.
Instelling IP-bereik zorgt ook voor kwetsbaarheid data
Naast het ontbreken van multi-factor authenticatie, is geconstateerd dat in meerdere Salesforce-omgevingen de instelling voor het vertrouwde IP-bereik te tolerant is en alle IP-adressen omvat (0.0.0.0 - 255.255.255.255). Deze configuratie stelt iedereen die over gecompromitteerde inlogdata beschikt ook in staat om toegang te krijgen tot data en deze te extraheren.
“We zien duidelijk dat de modus operandi van cybercriminelen om data van organisaties te bemachtigen is veranderd”, vertelt Daan Keuper security-expert en ethisch hacker bij Computest Security. “Door de verbeterde beveiliging van end points is de focus verschoven naar het misbruiken van kwetsbaarheden in andere onderdelen zoals in dit geval, apps. Ik verwacht dat we deze werkwijze steeds vaker zullen zien. Dit maakt het noodzakelijk om zowel bij de configuratie als tijdens het gebruik van de systemen serieuze aandacht te besteden aan security en continu te blijven monitoren om de data van de organisatie en alle stakeholders te beschermen.”
Advies voor versterken beveiliging
Om de beveiliging te versterken adviseert Computest Security organisaties hun instellingen voor het vertrouwde IP-bereik te controleren en te beperken en multi-factor authenticatie in te stellen. Meer informatie over hoe de security verbeterd kan worden is te vinden op het Salesforce blog.