los sitios fuerza de ventas Las deshabilitadas y no mantenidas incorrectamente son vulnerables a actores maliciosos que pueden acceder a datos comerciales confidenciales e información de identificación personal (PII) simplemente cambiando el encabezado del host. Esto es lo que revela un nuevo informe Estudio de Varonis Threat Labsque explora las amenazas que plantean los "sitios fantasma" de Salesforce.

Índice
  1. ¿Qué son los sitios fantasma de Salesforce?
  2. Posible explotación modificando el encabezado del host.
  3. Datos comerciales sensibles e información confidencial alojada

¿Qué son los sitios fantasma de Salesforce?

Los llamados sitios fantasma suelen crearse cuando las empresas utilizan nombres de dominio personalizados en lugar de URL internas poco atractivas para que los socios puedan verlos. escribió Varonis Threat Labs. Para hacer esto, el registro DNS se configura de manera que "partners.acme.org" [par exemple] apunta al sitio de la comunidad Salesforce en “partners.acme.org.00d400.live.siteforce.com”. Una vez que se cambia el registro DNS, los socios que visiten partners.acme.org podrán navegar al sitio Salesforce de Acme. Los problemas comienzan cuando Acme decide elegir otro proveedor de sitio comunitario, dicen los investigadores.

Al igual que con cualquier otra tecnología, las empresas pueden reemplazar un sitio de experiencia de Salesforce por otro. "Posteriormente, Acme modifica el registro DNS partners.acme.org para que apunte a un nuevo sitio que podría funcionar en su entorno AWS", añade Varonis Threat Labs. Desde la perspectiva del usuario, el sitio de Salesforce desapareció y hay una nueva página de la comunidad disponible. Es posible que este último esté completamente desconectado de Salesforce, que no funcione en el entorno y que no se detecte ninguna integración obvia. Sin embargo, los investigadores han descubierto que muchas empresas se limitan a cambiar los registros DNS. “No eliminan el dominio personalizado en Salesforce ni desactivan el sitio. En cambio, el sitio sigue existiendo, extrayendo datos y convirtiéndose en un sitio fantasma”.

Posible explotación modificando el encabezado del host.

Debido a que un sitio fantasma permanece activo en Salesforce, el dominio de siteforce siempre se resuelve, lo que significa que está disponible en las circunstancias adecuadas, explican los investigadores. “Una simple solicitud GET genera un error, pero hay otra forma de acceder al sitio. Los atacantes pueden explotar estos sitios simplemente modificando el encabezado del host”. Esto hace que Salesforce crea que el acceso al sitio fue exitoso y el editor ofrecerá el sitio al atacante, agregaron.

Aunque también se puede acceder a estos sitios utilizando las URL internas completas, estas URL son difíciles de identificar para un atacante externo, señalaron los investigadores. "Sin embargo, el uso de herramientas que indexan y archivan registros DNS, como SecurityTrails y otras herramientas similares, hace que sea mucho más fácil identificar sitios fantasma". El riesgo es aún mayor ya que los sitios antiguos y obsoletos tienen peor mantenimiento y, por lo tanto, son menos seguros, lo que facilita los ataques.

Los atacantes pueden explotar estos sitios simplemente modificando el encabezado del host. Esto hace que Salesforce crea que se accedió al sitio como https://partners.acme.org/ y que Salesforce está ofreciendo el sitio al atacante. (Crédito: Varonis)

Datos comerciales sensibles e información confidencial alojada

Los investigadores de Varonis afirmaron haber encontrado numerosos sitios inactivos que contenían datos confidenciales, incluidos datos comerciales sensibles e información confidencial, a los que de otro modo no se podía acceder. “Los datos expuestos no se limitan a datos antiguos de cuando se utilizó el sitio; "También incluyen nuevos registros que se compartieron con el usuario invitado, debido a la configuración de uso compartido en su entorno de Salesforce".

Aconsejan desactivar los sitios que ya no están en uso y enfatizan la importancia de rastrear todos los sitios de Salesforce y sus respectivos permisos de usuario, incluidos los usuarios de la comunidad y los usuarios invitados. Varonis Threat Labs también creado una guía para proteger las comunidades activas de Salesforce contra el reconocimiento y el robo de datos.