脅威ハンターと確認されていない被害者らが、土曜日にベンダーがセキュリティアドバイザリで明らかにしたSalesforceの顧客を標的とした一連の攻撃に対応しています。
「Salesforceは公開されているExperience Cloudサイトを標的とした脅威活動を積極的に監視しており、過度に許容度の高いゲストユーザー構成を悪用しようとする試みも含まれています」と、同社はアラートで述べました。
このキャンペーンは、約6ヶ月間でSalesforceの顧客を標的とした3番目の広範な攻撃キャンペーンとなります。
最新の攻撃に巻き込まれた被害者の数は確認されていませんが、攻撃の責任を主張する脅威グループShinyHuntersは、約100社がすでに影響を受けたと主張しています。
研究者らはCyberScoopに対し、このキャンペーンの背後にある脅威グループはShinyHuntersと関連していることに確信を持っていると述べました。ShinyHuntersは以前、恐喝の目的でSalesforceインスタンスからデータを盗んだことがあります。
Salesforceは攻撃を帰属させませんでしたが、「既知の脅威アクター集団」に責任を転嫁し、この問題は同社のプラットフォームの脆弱性が原因ではないと述べました。
同社は、この脅威活動はアイデンティティベースの標的化という広範な傾向を反映していると述べました。この場合、顧客が設定したゲストユーザー設定により、公開されているExperience Cloudサイトが潜在的な攻撃にさらされています。
「私たちはSalesforce Experience Cloudインスタンス内の設定ミスを特定しようとする脅威アクターの存在を認識しています」と、Mandiant ConsultingのCTO(最高技術責任者)であるCharles Carmakalは声明で述べました。「私たちはSalesforceと顧客と密接に協力して、潜在的なリスクを軽減するために必要なテレメトリーと検出ルールを提供しています。」
Salesforceは、脅威アクターが公開されているExperience Cloudサイトをスキャンし、ゲストユーザープロフィールを持つインスタンスからデータを盗むために、Mandiantが開発したオープンソースツールAuraInspectorの修正版を使用していると述べました。
この設定は、認証されていないユーザーに公開を目的とするデータへのアクセスを提供するように設計されています。ただし、過度なアクセス権限を持つゲストプロフィールにより、攻撃者はログインせずにSalesforce CRMオブジェクトを直接クエリすることで追加データを表示できるようになると、同社は説明しました。
Salesforceは、顧客を標的とした最新のキャンペーンをいつどのようにして認識したのか、また何社がすでに影響を受けたのかについては述べませんでした。「現時点では追加情報はありません」と、Salesforceのコーポレートコミュニケーション上級マネージャーのNicole Arandaは述べました。
同社は、ゲストユーザー構成が適切に制限されていることを確認するよう顧客に助言しました。
「インターネットに公開されているシステムは、継続的にスキャンされることを想定して設定する必要があります」と、Keeper Securityの最高情報セキュリティ責任者(CISO)Shane Barneyはメールで述べました。
「本質的には、これはアクセスガバナンスの問題です」と彼は付け加えました。「ゲストアカウント、サービスアカウント、API統合は、特権ユーザーと同じ厳密さで扱う必要があります。最小限の特権の適用、APIアクセスの制限、継続的なアクセス許可の監査は、基本的なセキュリティ制御です。」
Salesforceの顧客は昨年、サードパーティベンダーを含む2つの攻撃キャンペーンに直面しました。当時、Google Threat Intelligence Groupは、11月にSalesforce顧客環境に接続されたGainsightアプリケーションの悪意のあるアクティビティに関連する200以上の潜在的に影響を受けたSalesforceインスタンスを認識していると述べました。
8月に発見されたより大規模なダウンストリーム攻撃キャンペーンは、AIチャットエージェントSalesloft DriftをSalesforce環境に統合した700社以上に影響を及ぼしました。ShinyHuntersまたは恐喝グループと関連する脅威クラスタは、これらの両方のキャンペーンにも関与していました。
翻訳元: https://cyberscoop.com/salesforce-experience-cloud-customers-attacks/
