Los sitios "fantasma" o sin mantenimiento de Salesforce se vuelven vulnerables a los ataques
Una investigación destaca los riesgos que plantean estos sitios que continúan extrayendo datos comerciales confidenciales y pueden ser explotados fácilmente.
Los sites de Salesforce incorrectamente desactivados y sin mantenimiento son vulnerables a los actores de amenazas, que pueden obtener acceso a datos comerciales confidenciales e información de identificación personal simplemente cambiando el encabezado del host. Así lo asegura una investigación de Varonis Threat Labs, que explora las amenazas planteadas por los “sitios fantasma” que ya no son necesarias pero que no han sido desactivadas. Por lo general, estos sitios no se mantienen ni se prueban contra vulnerabilidades, mientras que los administradores no actualizan las medidas de seguridad de acuerdo con las pautas más recientes. Sin embargo, aún se pueden extraer datos nuevos y son fácilmente explotables.
Otro informe reciente de Okta advierte de que, en general, las cuentas inactivas y no mantenidas presentan riesgos de seguridad significativos. Por su parte, Google ha anunciado una actualización de su política de inactividad a dos años para sus cuentas. Es decir, si no se usa o se inicia sesión en este período, la compañía podría eliminarla, junto con su contenido. Y, es que, este tipo de cuentas inactivas tienen 10 veces menos de probabilidad de tener configurada la autenticación multifactor y, por lo general, dependen de la reutilización de contraseñas, lo que las hace particularmente vulnerables.
¿Qué son los “sitios fantasma” de Salesforce?
Los “sitios fantasma” de Salesforce se crean generalmente cuando las empresas usan nombres de dominio personalizados en lugar de URL internas poco atractivas. “Esto se logra configurando el DNS para que apunte a otro sitio”. Como cualquier otra tecnología, las empresas pueden reemplazar un sitio de Salesforce con una alternativa. Desde el punto de vista de los usuarios, el sitio ya no está y hay una nueva página disponible de la comunidad. Es posible que esta esté desconectada de Salesforce, que no se ejecute en el entorno y que no se detecten integraciones obvias.
Sin embargo, los investigadores descubrieron que muchas organizaciones se limitan a modificar los registros DNS. “No quitan el dominio personalizado en Salesforce ni desactivan el sitio. Este continúa existiendo, extrayendo datos y convirtiéndose en fantasma”.
Los atacantes pueden explotar los sitios cambiando el encabezado del host
Como un sitio fantasma permanece activo en Salesforce, el dominio de Siteforce aún se resuelve, lo que significa que está disponible en las circunstancias adecuadas, según los investigadores. “Una solicitud GET directa da como resultado un error, pero hay otra forma de obtener acceso. Los atacantes pueden explotar estos sitios simplemente cambiando el encabezado del host”. Esto engaña a Salesforce haciéndole creer que se accedió correctamente al sitio y que Salesforce entregaría el sitio al atacante, agregaron.
Aunque también se puede acceder a estos sitios utilizando las URL internas completas, estas URL son difíciles de identificar para un atacante externo, señalaron los investigadores. “Sin embargo, el uso de herramientas que indexan y archivan registros DNS, como SecurityTrails y otras herramientas similares, facilita mucho la identificación de sitios fantasma”. Al riesgo se suma el hecho de que los sitios antiguos y obsoletos tienen menos mantenimiento y, por lo tanto, son menos seguros, lo que aumenta la facilidad de un ataque.
Sitios fantasma para alojar datos comerciales confidenciales
Los investigadores de Varonis dijeron que encontraron muchos sitios inactivos con datos confidenciales, incluidos datos comerciales confidenciales y PII, a los que de otro modo no se podía acceder. “Los datos expuestos no se limitan solo a datos antiguos de cuando el sitio estaba en uso; también incluye nuevos registros que se compartieron con el usuario invitado, debido a la configuración de uso compartido en su entorno de Salesforce”.
Los sitios que ya no están en uso deben desactivarse, aconsejaron los investigadores, además de resaltar la importancia de rastrear todos los sitios de Salesforce y los permisos de sus respectivos usuarios, incluidos los usuarios de la comunidad y los invitados. Varonis Threat Labs también ha creado una guía para proteger las comunidades activas de Salesforce contra reconocimiento y robo de datos.
