Caçadores de ameaças e um grupo de vítimas não confirmadas estão respondendo a uma série de ataques direcionados a clientes da Salesforce, que o fornecedor divulgou em um comunicado. consultoria de segurança Sábado.
“A Salesforce está monitorando ativamente atividades de ameaças direcionadas a sites do Experience Cloud voltados ao público, incluindo tentativas de aproveitar configurações de usuários convidados excessivamente permissivas”, disse a empresa no alerta.
A campanha marca a terceira onda de ataques generalizados contra clientes da Salesforce em cerca de seis meses.
O número de vítimas apanhadas pelos ataques mais recentes não foi verificado, mas o ShinyHunters, o grupo ameaçador que assume a responsabilidade pelos ataques, afirma que cerca de 100 empresas já foram afetadas.
Os pesquisadores disseram à CyberScoop que estão confiantes de que o grupo de ameaças por trás da campanha está associado ao ShinyHunters, uma empresa que anteriormente roubou dados de instâncias do Salesforce para tentativas de extorsão.
A Salesforce não atribuiu os ataques, mas atribuiu a culpa a um “conhecido grupo de atores de ameaças”, acrescentando que o problema é não devido a uma vulnerabilidade na plataforma da empresa.
A empresa disse que a atividade de ameaça reflete uma tendência mais ampla de segmentação baseada em identidade, neste caso configurações de usuário convidado configuradas pelo cliente que expõem sites do Experience Cloud acessíveis ao público a possíveis ataques.
“Estamos cientes de um ator de ameaça tentando identificar configurações incorretas nas instâncias do Salesforce Experience Cloud”, disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting, em um comunicado. “Estamos trabalhando em estreita colaboração com a Salesforce e nossos clientes para fornecer as regras de telemetria e detecção necessárias para mitigar riscos potenciais.”
A Salesforce disse que o ator da ameaça está usando uma versão modificada da ferramenta de código aberto desenvolvida pela Mandiant AuraInspetor para verificar sites do Experience Cloud públicos e roubar dados de instâncias com um perfil de usuário convidado.
Essa configuração foi projetada para fornecer aos usuários não autenticados acesso aos dados destinados ao consumo público. No entanto, perfis de convidados com permissões excessivas permitem que invasores visualizem dados adicionais consultando diretamente objetos do Salesforce CRM sem fazer login, explicou a empresa.
A Salesforce não informou quando ou como tomou conhecimento da última campanha direcionada a seus clientes, nem quantas empresas já foram impactadas. “Não temos mais nada a acrescentar neste momento”, disse Nicole Aranda, gerente sênior de comunicações corporativas da Salesforce.
A empresa aconselhou os clientes a garantir que as configurações dos usuários convidados sejam devidamente restritas.
“Qualquer sistema exposto à Internet deve ser configurado com a expectativa de que será continuamente verificado”, disse Shane Barney, diretor de segurança da informação da Keeper Security, por e-mail.
“Em sua essência, esta é uma questão de governança de acesso”, acrescentou. “Contas de convidados, contas de serviço e integrações de API devem ser tratadas com a mesma disciplina que usuários privilegiados. Aplicar privilégios mínimos, restringir o acesso à API e auditar continuamente as permissões são controles de segurança fundamentais.”
Os clientes da Salesforce enfrentaram uma série de ataques envolvendo fornecedores terceirizados no ano passado. Na época, o Google Threat Intelligence Group disse que estava ciente de mais de 200 instâncias do Salesforce potencialmente afetadas, vinculadas a atividades maliciosas em aplicativos Gainsight conectados a ambientes de clientes do Salesforce em novembro.
Uma onda de ataques downstream mais extensa descoberta em agosto impactou mais de 700 empresas que integraram o agente de bate-papo de IA Salesloft Drift em seus ambientes Salesforce. ShinyHunters ou grupos de ameaças afiliados ao grupo de extorsão também estiveram envolvidos em ambas as campanhas.
Deseja saber mais sobre Segurança Clique Aqui!
crime cibernético,identidade,mandiant,força de vendas,shinyhunters