Salesforce’da Güvenlik Açığı Uyarısı
Salesforce, misconfigured (yanlış yapılandırılmış) Experience Cloud platformları üzerinden internet sitelerine yapılan saldırılar konusunda müşterilerini uyarıyor. ShinyHunters siber suç grubu, bu yeni açığı kullanarak verileri çalmaya çalıştığını iddia ediyor.
Saldırı Nasıl Çalışıyor?
Saldırganlar, Salesforce’un /s/sfsites/aura API uç noktasını hedef alarak, ziyaretçilere istenenden daha fazla veri sunan yanlış yapılandırılmış konaklamaları suistimal ediyor. Salesforce’a göre, saldırganlar, Salesforce Aura çerçevesindeki erişim kontrolü yanlışlıklarını belirlemek için Mandiant tarafından geliştirilen açık kaynaklı bir denetim aracı olan AuraInspector‘ın değiştirilmiş bir versiyonunu kullanıyor.
Salesforce, olayın platformla ilgili bir güvenlik açığı olmadığını, bunun yerine müşterilerin misafir kullanıcı ayarlarının yanlış yapılandırılmasıyla ilgili olduğunu belirtmektedir. Yetersiz yapılandırılmış bir “misafir kullanıcı profili”, anonim ziyaretçilerin erişimi olması gereken verileri sorgulamalarına olanak tanıyor.
Etkilenen Sistemler
ShinyHunters, siber saldırıları ile etkilenen yaklaşık 100 yüksek profilli şirket olduğunu bildiriyor. Toplamda, etkilenen organizasyon sayısının 300 ile 400 arasında değiştiği söyleniyor. Ayrıca, bu saldırılar sırasında GraphQL API kullanılarak verilerin toplandığı iddia ediliyor, ancak Salesforce sadece 2,000 kayıt sorgulanmasına izin veriyor. Saldırganlar, bu sınırı aşmak için sortBy parametresini keşfettiklerini belirtiyor.
Çözüm ve Korunma
Organizasyonlar, saldırılara karşı savunmalarını güçlendirmek için aşağıdaki önlemleri almalıdır:
- Misafir kullanıcı izinlerini gözden geçirin ve minimuma indirin.
- Kuruluş geneli varsayılan ayarları harici erişim için Özel olarak ayarlayın.
- Misafir kullanıcıların iç kullanıcıları listelemesi için Portal Kullanıcı Görünürlüğü ve Site Kullanıcı Görünürlüğünü kapatın.
- Kendi kendine kayıt işlemini devre dışı bırakın; aksi takdirde, açığa çıkan misafir verileri, portal hesapları oluşturmak için kullanılabilir.
Sistem yöneticileri, ayrıca Aura Olay İzleme günlüklerini inceleyerek sıradışı erişim desenleri, alışılmadık IP adresleri veya kamuya açık olmaması gereken nesneler üzerinde sorgular aramalıdır. Salesforce’un doğru kişiyi hızlı bir şekilde bilgilendirebilmesi için bir Güvenlik İletişim Kişisi atamak önemlidir.
Sonuç
Okuyucuların bu tür saldırılara karşı daha hazırlıklı olmaları için gerekli güncellemeleri biran önce yapması, özellikle API erişimini devre dışı bırakması ve misafir kullanıcı izinlerini minimum düzeye indirmesi büyük önem taşıyor. Organizasyonlar, güvenlik önlemlerinin yeterli olduğundan emin olmak için yapılandırmalarını gözden geçirmeli ve gerektiğinde güncellemeler yapmalıdır.
