Stampa

Fuga Dati su Salesforce Experience Cloud: i guest user “troppo permissivi” nel mirino degli hacker

Negli ultimi mesi la sicurezza di Salesforce Experience Cloud è finita sotto i riflettori per un aumento di attività malevole orientate a sfruttare configurazioni errate nei siti pubblicamente accessibili. Il punto critico non riguarda una vulnerabilità nativa della piattaforma, ma le impostazioni troppo permissive assegnate al profilo guest user, cioè l’utente non autenticato che serve a mostrare pagine di atterraggio, FAQ e articoli di knowledge base.

Gli attori delle minacce stanno eseguendo scansioni su larga scala dei siti Experience Cloud esposti su Internet, concentrandosi sugli endpoint del framework Aura, in particolare sul percorso /s/sfsites/aura. Per automatizzare e amplificare l’attacco viene utilizzata una versione modificata di AuraInspector, uno strumento open source nato per aiutare i team di sicurezza a individuare e verificare misconfigurazioni di controllo accessi nell’ecosistema Salesforce Aura. La differenza sostanziale è che la variante malevola non si limita a identificare oggetti potenzialmente esposti, ma tenta anche di estrarre dati, approfittando di permessi eccessivi concessi al guest user.

Quando il profilo guest è configurato in modo troppo ampio, un aggressore può interrogare direttamente oggetti del CRM senza effettuare login, ottenendo informazioni sensibili che dovrebbero essere disponibili solo ad utenti autenticati. Perché lo scenario si concretizzi, in genere devono verificarsi due condizioni: l’organizzazione utilizza il profilo guest per l’esperienza pubblica e non ha applicato le linee guida consigliate per limitare l’accesso ai dati.

Raccomandazioni operative per ridurre il rischio

Le raccomandazioni operative per ridurre il rischio puntano su principi di minimo privilegio e riduzione della superficie di attacco:

  • Impostare la Default External Access per tutti gli oggetti su Private.
  • Disabilitare l’accesso del guest alle API pubbliche quando non necessario.
  • Limitare le impostazioni di visibilità per impedire l’enumerazione di membri interni dell’organizzazione.
  • Disattivare la self registration se non serve.
  • Monitorare i log per individuare query anomale o pattern di scansione.

Questo tipo di attività si inserisce in una tendenza più ampia di attacchi identity based, in cui i dati raccolti come nomi e numeri di telefono vengono riutilizzati per campagne mirate di social engineering e vishing, aumentando la probabilità di compromissione anche oltre il perimetro di Salesforce.

, , , , , , ,