BEDROHUNG
Salesforce warnt vor Angriffen auf fehlkonfigurierte Experience-Cloud-Instanzen, bei denen Gastzugriffe mehr Daten freigeben als beabsichtigt. Ziel der Angriffe ist der API-Endpunkt /s/sfsites/aura auf falsch konfigurierten, öffentlich zugänglichen Experience-Cloud-Instanzen. Dabei wird ein Gastbenutzerprofil missbraucht, das anonymen, nicht authentifizierten Nutzern bei zu weitreichenden Rechten Zugriff auf Salesforce-CRM-Objekte gewährt. Die Angreifer nutzten eine modifizierte Version von Mandiants Open-Source-Audit-Tool AuraInspector, um Fehlkonfigurationen zu identifizieren.
Die Erpressergruppe ShinyHunters beansprucht die Angriffe für sich und gibt an, eine Methode gefunden zu haben, die den Datendiebstahl aus Aura-Instanzen auch bei ordnungsgemäßer Konfiguration ermögliche. Laut den Kriminellen soll die Beschränkung des öffentlichen Zugriffs auf eine Instanz davor schützen. Salesforce betont, es handele sich nicht um eine inhärente Plattform-Schwachstelle, sondern um durch Kunden vorgenommene Guest-Einstellungen.
Was jetzt zu tun ist:
• Eigene Salesforce-Experience-Cloud-Instanzen auf Gastzugriff und API-Berechtigungen prüfen
PRÄVENTION & DETECTION
Cyberangriffe entwickeln sich rasant – doch mit der richtigen Intelligence sind Sie vorbereitet. Unsere Cyber Threat Intelligence analysiert kontinuierlich aktuelle Angriffskampagnen und stellt Ihnen strukturiert aufbereitete, evidenzbasierte Informationen zu Taktiken, Techniken und Angriffsmustern bereit. So erhalten Sie genau die Einblicke, die sie brauchen, um Risiken frühzeitig zu erkennen, Prioritäten richtig zu setzen und wirksame Gegenmaßnahmen schnell einzuleiten.
LocateRisk ist eine SaaS-Lösung für externe IT-Sicherheitsanalysen. Sie scannt öffentlich erreichbare Systeme, erkennt Schwachstellen
und kommt dabei ohne Installation im internen Netzwerk aus.
Autor: Michael Niers
