{"id":282259,"date":"2023-06-10T00:03:00","date_gmt":"2023-06-09T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282259"},"modified":"2023-06-08T07:38:26","modified_gmt":"2023-06-08T05:38:26","slug":"varonis-warnt-vor-nicht-mehr-genutzten-salesforce-sites","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/10\/varonis-warnt-vor-nicht-mehr-genutzten-salesforce-sites\/","title":{"rendered":"Varonis warnt vor nicht mehr genutzten Salesforce-Sites"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=30422\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher von Varonis sind auf ein Problem in Verbindung mit Salesforce-Sites gesto\u00dfen, die verwaist sind und nicht mehr genutzt werden. Die Sicherheitsforscher der Varonis Threat Labs haben entdeckt, dass unsachgem\u00e4\u00df deaktivierte Salesforce-Sites, sogenannte Ghost Sites, weiterhin aktuelle Daten abrufen und f\u00fcr Angreifer zug\u00e4nglich sind: Durch Manipulation des Host-Headers k\u00f6nnen Cyberkriminelle Zugang zu sensiblen personenbezogenen Daten und Gesch\u00e4ftsinformationen erhalten.<\/p>\n<p><!--more--><\/p>\n<p>Mit Salesforce Sites k\u00f6nnen Unternehmen benutzerdefinierte Communities erstellen, die es Partnern und Kunden erm\u00f6glichen, innerhalb der Salesforce-Umgebung eines Unternehmens zusammenzuarbeiten. Naturgem\u00e4\u00df werden dabei auch vertrauliche und sensitive Daten geteilt. Wenn diese Communities nicht mehr ben\u00f6tigt werden, werden sie h\u00e4ufig jedoch nicht korrekt deaktiviert. Dies er\u00f6ffnet Angreifern einen Angriffspfad, zumal diese ungenutzten Sites in aller Regel nicht \u00fcberwacht und auf Schwachstellen getestet werden.<\/p>\n<h2>Wie Salesforce Ghost Sites entstehen<\/h2>\n<p>Typischerweise erstellen Unternehmen bei der Nutzung von Salesforce benutzerdefinierte Domains wie \u201epartners.acme.org\", die auf die entsprechende Community-Site (\u201epartners.acme.org\/00d400.live.siteforce.com\") verweist. Wenn das Unternehmen nun zu einem anderen Anbieter wechselt, wird es in aller Regel die nutzerfreundliche Domain \u201epartners.acme.org\" weiterverwenden wollen, die nun auf die vom neuen Anbieter gehostete Website verlinkt.<\/p>\n<p>Leider beschr\u00e4nken sich viele Unternehmen hierbei auf die \u00c4nderung von DNS-Eintr\u00e4gen und entfernen weder die benutzerdefinierte Dom\u00e4ne in Salesforce, noch deaktivieren sie die Site. Somit exisitiert die Salesfoce-Site weiter mit allen potenziell sensitiven Mitteilungen, Gesch\u00e4ftsunterlagen und anderen gesch\u00e4ftlichen und pers\u00f6nlichen Informationen, die sie enth\u00e4lt, und die wom\u00f6glich weiter aktualisiert werden.<\/p>\n<h2>Zugriff auf sensitive Daten durch Cyberkriminelle<\/h2>\n<p>Um an die Daten zu gelangen, m\u00fcssen Angreifer die genaue interne Dom\u00e4ne kennen, die mit der noch bestehenden Salesforce-Site eines Unternehmens verbunden ist. Die Verwendung von Tools, die DNS-Eintr\u00e4ge indizieren und archivieren (wie beispielsweise SecurityTrails) erleichtert dabei die Identifizierung von Geisterseiten.<\/p>\n<p>Diese Sites sind in Salesforce noch aktiv und somit unter den richtigen Umst\u00e4nden zug\u00e4nglich. Zwar f\u00fchrt eine einfache GET-Anfrage zu einem Fehler, allerdings k\u00f6nnen Angreifer den Host-Header \u00e4ndern: Dadurch wird Salesforce vorget\u00e4uscht, dass die Website als partners.acme.org\/ aufgerufen wurde. Salesforce leitet die Angreifer so auf die Ghost Site weiter.<\/p>\n<p>Die Sicherheitsforscher identifizierten bei ihrer Untersuchung zahlreiche verlassene Sites mit vertraulichen Informationen inklusive personenbezogener Daten und sensibler Gesch\u00e4ftsdaten, die sonst nicht zug\u00e4nglich w\u00e4ren. Die offengelegten Daten beschr\u00e4nken sich dabei nicht nur auf alte Daten aus der Zeit, in der die Site genutzt wurde, sondern umfassen auch neue Datens\u00e4tze, die aufgrund der Freigabekonfiguration in der Salesforce-Umgebung f\u00fcr den Gastbenutzer freigegeben wurden.<\/p>\n<h2>Wie man Geisterseiten verhindert<\/h2>\n<p>Um das Problem der Ghost Sites zu l\u00f6sen, sollten Sites, die nicht mehr verwendet werden, stets deaktiviert werden. Es ist zudem wichtig, den \u00dcberblick \u00fcber alle Salesforce-Sites und die Berechtigungen der jeweiligen Benutzer zu behalten \u2013 einschlie\u00dflich Community- und Gastbenutzer. Die Varonis Threat Labs haben einen Leitfaden zum Schutz aktiver Salesforce-Communities vor Aussp\u00e4hung und Datendiebstahl erstellt, der <a href=\"https:\/\/www.varonis.com\/blog\/abusing-salesforce-communities\" target=\"_blank\" rel=\"noopener\">hier<\/a> allen Interessierten zur Verf\u00fcgung steht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von Varonis sind auf ein Problem in Verbindung mit Salesforce-Sites gesto\u00dfen, die verwaist sind und nicht mehr genutzt werden. Die Sicherheitsforscher der Varonis Threat Labs haben entdeckt, dass unsachgem\u00e4\u00df deaktivierte Salesforce-Sites, sogenannte Ghost Sites, weiterhin aktuelle Daten abrufen und &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/10\/varonis-warnt-vor-nicht-mehr-genutzten-salesforce-sites\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282259","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282259","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282259"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282259\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282259"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282259"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282259"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}