Onderzoekers: Sterke stijging in misbruik van lekken in Salesforce-systemen

Cybercriminelen maken gebruik van gestolen inloggegevens, verkregen via malware of phishing-aanvallen, om de kwetsbaarheden uit te buiten. Ze maken hierbij gebruik van een standaard Salesforce-component, de DataloaderPartnerUI, die gebruikers toegang geeft tot API's zonder dat multi-factor authenticatie vereist is. Dit maakt het relatief eenvoudig om op grote schaal data te stelen. Het Incident Response Team van Computest Security benadrukt dat het verontrustend is dat dit een standaardinstelling is in Salesforce-applicaties.

Instellingen voor vertrouwde IP-bereik te ruim

Naast het ontbreken van multi-factor authenticatie, is in veel Salesforce-omgevingen de instelling voor het vertrouwde IP-bereik te ruim, waardoor alle IP-adressen toegang hebben. Dit stelt iedereen met gecompromitteerde inloggegevens in staat om data te extraheren. Om de beveiliging te verbeteren, adviseert Computest Security organisaties om hun instellingen voor het vertrouwde IP-bereik te beperken en multi-factor authenticatie in te schakelen.

“We zien duidelijk dat de modus operandi van cybercriminelen om data van organisaties te bemachtigen is veranderd”, vertelt Daan Keuper (foto), security-expert en ethisch hacker bij Computest Security. “Door de verbeterde beveiliging van end points is de focus verschoven naar het misbruiken van kwetsbaarheden in andere onderdelen zoals in dit geval, apps. Ik verwacht dat we deze werkwijze steeds vaker zullen zien. Dit maakt het noodzakelijk om zowel bij de configuratie als tijdens het gebruik van de systemen serieuze aandacht te besteden aan security en continu te blijven monitoren om de data van de organisatie en alle stakeholders te beschermen.”

Meer informatie over het verbeteren van de beveiliging is te vinden op het Salesforce-blog.