Cybercriminelen proberen steeds vaker data te stelen via zwakke plekken in de configuratie van Salesforce-systemen. Daardoor neemt het risico op het verlies van klantgegevens toe, waarschuwt it-beveiligingsbedrijf Computest Security.
De kwetsbaarheden zijn te misbruiken via (gestolen) inloggegevens. Vervolgens is via een standaardcomponent van Salesforce, de DataloaderPartnerUI, eenvoudig andere data te bereiken. De component geeft gebruikers toegang tot api’s waarvoor geen multi-factorauthenticatie vereist is. Hiermee is het ook mogelijk om relatief eenvoudig op grote schaal data uit de systemen te ontvreemden, duidt Computest. De beveiliger vindt het opvallend dat dit een standaard-instelling is in de Salesforce-applicaties.
Naast het ontbreken van multi-factorauthenticatie, blijkt ook dat in meerdere Salesforce-omgevingen de instelling voor het vertrouwde ip-bereik te tolerant is en alle ip-adressen omvat (0.0.0.0 – 255.255.255.255). ‘Deze configuratie stelt iedereen die over gecompromitteerde inlogdata beschikt ook in staat om toegang te krijgen tot data en deze te extraheren’, aldus de ict-beveiliger.
Apps
Computest ziet dat de werkwijze van cybercriminelen om data van organisaties in handen te krijgen, veranderd is. Daan Keuper, securityexpert en ethisch hacker bij Computest Security, stelt vast dat met de verbeterde beveiliging van endpoints de focus is verschoven naar het misbruiken van kwetsbaarheden in andere onderdelen, zoals in dit geval apps. Hij verwacht deze werkwijze dan ook steeds vaker tegen te komen. ‘Dit maakt het noodzakelijk om zowel bij de configuratie als tijdens het gebruik van de systemen serieuze aandacht te besteden aan security en continu te blijven monitoren om de data van de organisatie en alle stakeholders te beschermen.’
Versterken beveiliging
Om de beveiliging te versterken, adviseert Computest organisaties om hun instellingen voor het vertrouwde ip-bereik te controleren en te beperken en multi-factorauthenticatie in te stellen. Ook is het aan te raden om stappen te nemen die Salesforce deelt in een blog met meer informatie over het verbeteren van de beveiliging van de systeemconfiguratie. Daarin wijst het bedrijf er ook op dat de beveiliging van systemen een gedeelde verantwoordelijkheid is tussen de leverancier en zijn klanten. ‘Hoewel we beveiliging op bedrijfsniveau inbouwen in elk onderdeel van ons platform, spelen klanten een cruciale rol bij de bescherming van hun gegevens, vooral te midden van de recente toename van geavanceerde social engineering en phishing-aanvallen gericht op Salesforce-klanten.’
