Salesforce Communities の設定ミスが顧客やパートナーにリスクをもたらす

Salesforce Communities Misconfig Puts Clients, Partners at Risk

2021/08/17 SecurityBoulevard — Varonis の研究者たちが発見した、Salesforce Communities のミス・コンフィグレーションとは、大切なデータをインターネットに公開してしまう可能性を持つものだ。Varonis のブログには、「匿名のユーザにより、顧客リストや、サポート・ケース、従業員の電子メール・アドレスなどの、機密情報を含むオブジェクトの照会が可能になる」と述べている。

場合によっては、狡猾な攻撃者による横方向への移動を許し、Salesforce アカウントと統合されている他のサービスから、情報を取得する可能性すら生じる。彼らは、「脅威アクターたちは、このミス・コンフィグレーションを悪用して、少なくとも、スピアフィッシング・キャンペーンのための偵察を行うことができる。最悪の場合、エンタープライズの顧客やパートナーに関する機密情報を盗むことができる」と述べている。研究者が、Salesforce Communities のミス・コンフィグレーションに遭遇したのは、今回が初めてというわけはなく、SaaS の設定ミスは、今後も脅威となり続けると予想している。

Salesforce Communities とは、組織外の顧客やパートナーが Salesforce インスタンスにアクセスし、サポート・チケット発行やサブスクリプション管理などを実現する公開サイトのことである。このサイトが、Google にインデックスされていることで、「顧客やパートナーにとって便利」であると同時に、「攻撃者による公開コミュニティの発見が容易」になると、Varonis は述べている。Salt Security のテクニカル・エバンジェリストである Michael Isbitski は、「しかし、最も問題なのは、Salesforce の導入による有機的な成長が多いため、企業の IT チームは Salesforce のセキュリティを見落としがちである。

一般的な認識として、Salesforce は、主にセールスフォース・オートメーションと CRM に使用されると言われている。しかし、Salesforce Communities のようなサービスも含めて、その機能は広範囲におよんでいるため、そのような考え方は間違っている」と述べている。その結果として、すべての機能において、統一されたテクノロジー・スタックが使用されるわけではないため、設定ミスや運用の複雑さが増している。さらに、Salesforce Lightning や Heroku による、カスタム・アプリ開発プラットフォームとしても利用できる。したがって、組織における攻撃対象が大幅に拡大し、設定ミスや脆弱なカスタム・コードのリスクも大幅に高まる。

Varonis の調査結果を参照した Michael Isbitski は、「一部の組織が、自社の Salesforce Communities インスタンスにおいて、設定を適切にロックダウンすることを怠り、ゲスト・アクセスを有効にした状態で放置されている。それにより攻撃者は、Web API を介して Salesforce Communities インスタンスに問い合わせを行い、権限を付与されていないと予測されるデータを窃取できる。

対象となるエンタープライズが、他のカスタム Apex コードにより、Salesforce インスタンスを拡張していた場合には、攻撃の連鎖が始まってしまい、脆弱な組織内の他のサービスまで悪用される可能性がある」と述べている。さらに Isbitski は、「Salesforce では、エンタープライズの防御力を高めるために、設定の一部をデフォルトで無効にしてロックすることを試みた。しかし、一部の設定は、自社のインスタンスを操作する管理者に委ねられてる。そのため、エンタープライズの資産を安全に保護するために、細心の注意を払うことが要求される」と加えている。

AppOmni の CEO である Brendan O’Connor は、「Salesforce や、Workday、ServiceNow、Microsoft 365 などの SaaS プラットフォームが進化し、機能や複雑さが増幅していく中で、自動化されたツールやプロセスを用いて、ユーザーの権限や設定を継続的に監視/管理することが、エンタープライズには求められる」と指摘している。

Varonis の研究者たちは、Salesforce の管理者に対して以下を推奨している。

1. ゲスト・プロファイルのパーミッションが、アカウント記録や従業員のカレンダーなどの機密データを公開しないようにする。
2. ゲスト・プロファイルの API アクセスを無効にする。
3. ゲスト・ユーザーが作成したレコードのデフォルト所有者を設定する。
4. ゲスト・ユーザーのセキュアなアクセスを有効にする。

先日にポストした、「Black Hat 2021:クラウドの脆弱性にも CVE アプローチが必要なのか?」にもあるように、設定が1つ間違っただけで、とんでもない動きをしてしまう、クラウドの怖さの事例ですね。その AWS の問題と、Salesforce の問題には、まったく異なる要因があるのかもしれませんが、ユーザーに生じる問題は、どちらも深刻です。そういえば、Heroku ってあったなぁなどと思いつつ、API 接続の脆弱さを推測してしまいます。よろしければ、「API セキュリティのためのベスト・プラクティスを策定する」や、「NIST 800-144 : Guidelines on Security and Privacy in Public Cloud Computing」などを、ご覧ください。

%d bloggers like this: