De Nederlandse IT-beveiliger Computest Security meldt een forse toename in het misbruik van kwetsbaarheden in de configuratie van Salesforce-systemen. Cybercriminelen kunnen daardoor mogelijk grote hoeveelheden gevoelige data buitmaken, waarschuwt het bedrijf.
Aan de hand van gestolen inloggegevens, verkregen via malware of phishing, kunnen kwaadwilligen via een standaard Salesforce-component (de DataloaderPartnerUI) eenvoudig bij de data, stellen de onderzoekers. Dat onderdeel geeft gebruikers vervolgens toegang tot API’s zonder dat multifactorauthenticatie oftewel MFA vereist is. ‘Hiermee is het echter ook mogelijk om relatief eenvoudig op grote schaal data uit de systemen te ontvreemden’, aldus het Incident Respons Team van Computest Security. ‘Het is opvallend dat dit een standaard instelling is in de Salesforce-applicaties.’
Te tolerant IP-bereik
Naast het ontbreken van MFA constateerde het Incident Respons Team dat in meerdere Salesforce-omgevingen de instelling voor het vertrouwde IP-bereik te tolerant is en àlle IP-adressen omvat (dus gaande van 0.0.0.0 tot 255.255.255.255). ‘Deze configuratie stelt iedereen die over gecompromitteerde inlogdata beschikt ook in staat om toegang te krijgen tot data en deze te extraheren’, waarschuwt Computest Security.
‘We zien duidelijk dat de modus operandi van cybercriminelen is veranderd’, vertelt Daan Keuper, security-expert en ethisch hacker bij Computest Security. ‘Door de verbeterde beveiliging van end points is de focus verschoven naar het misbruiken van kwetsbaarheden in andere onderdelen, zoals – in dit geval – apps. Ik verwacht dat we deze werkwijze steeds vaker zullen gaan zien.
Om de beveiliging te versterken adviseert Computest Security organisaties om hun instellingen voor het vertrouwde IP-bereik te controleren en te beperken, en om onmiddellijk multifactorauthenticatie in te stellen.
Fout opgemerkt of meer nieuws? Meld het hier