Salesforceは悪名高い脅威グループが既に数百の企業からデータを盗んだとの報告を受けた後、Experience Cloudの顧客にウェブサイト設定の監査を促した。
SaaS大手は、自社のExperience Cloudプラットフォームを使用して構築された公開アクセス可能なサイトの誤設定を狙う脅威者のアクティビティの増加を追跡していると述べた。
「具体的には、悪意のある者たちが顧客の過度に許容的なExperience Cloudゲストユーザー設定を悪用して、対象組織が意図したより多くのデータにアクセスする可能性があるキャンペーンを特定しました」と説明した。
このグループは、Mandiant(Aura Inspector)によって元々開発されたオープンソースツールのカスタマイズ版を使用して、/s/sfsites/aura APIエンドポイントの大規模スキャンを実行している。このツールは脆弱なCRMオブジェクトを特定し、誤設定されたエンドポイントからデータを抽出するようです、とSalesforceは述べた。
「これらのスキャンで収穫されたデータ(名前と電話番号など)は、後続の標的型ソーシャルエンジニアリングおよびビッシング(音声フィッシング)キャンペーンを構築するのに使用されることが多いです」と続けた。
ShinyHuntersキャンペーンについてもっと読む:新しいデータ盗難キャンペーンがSalesforce via Salesloftアプリを標的にしている。
Salesforceは、脅威行為者が「プラットフォームセキュリティの欠陥ではなく、顧客が構成したゲストユーザー設定」を悪用していることを指摘するのに細心の注意を払った。
ShinyHuntersが最終警告を発出
悪名高いShinyHuntersグループはキャンペーンの責任を主張している。X(以前のTwitter)に発行されたそのリークサイトのスクリーンショットでは、「数百の」企業に侵入したと主張している。
約400のウェブサイトと100の「著名な企業」に侵害したと主張しています。
これは、ウェブサイト侵害を通じて得られたSalesforceが引用した連絡先の詳細を使用して、後続のソーシャルエンジニアリング、ネットワーク侵害、およびより広いデータ盗難を実行したことを示唆している。
Salesforceが即座の行動を促す
Salesforceは、ゲストユーザープロフィールを使用しており、「公開アクセス可能であることを意図していないオブジェクトとフィールドへのパブリックアクセスを許可する」ための権限を構成しているExperience Cloudの顧客は影響を受ける可能性があると主張した。
- ゲストユーザーの権限を監査し、最小権限アクセスモデルを実行して、これらのプロフィールがサイトが機能するために必要な「絶対最小限の」オブジェクトとフィールドに制限されていることを確認する
- すべてのオブジェクトのデフォルト外部アクセスが「プライベート」に設定されていることを確認する
- サイト設定で「ゲストユーザーのパブリックAPIへのアクセスを許可」をチェック解除し、ゲストユーザープロフィールのシステム権限で「APIを有効にする」をチェック解除する
- 共有設定で「ポータルユーザーの可視性」と「サイトユーザーの可視性」をチェック解除して、ゲストユーザーが内部組織メンバーを列挙するのを防ぐ
- サイトが認証されていない訪問者が自分のアカウントを作成する必要がない場合は、自己登録を無効にする
- Auraイベント監視ログで異常なアクセスパターンを確認する
ShinyHuntersはSalesforceの顧客を追跡することで長い実績があり、昨年の関連キャンペーンで複数回その例をターゲットにした。
翻訳元: https://www.infosecurity-magazine.com/news/shinyhunters-hundreds-websites/
