La firme néerlandaise de sécurité informatique Computest Security signale une augmentation significative de l’exploitation des vulnérabilités dans la configuration des systèmes Salesforce. Des cybercriminels pourraient donc être en mesure de dérober de grandes quantités de données sensibles, prévient l’entreprise.
En utilisant des informations de connexion volées et obtenues via des logiciels malveillants ou par hameçonnage (phishing), des hackers pourraient facilement accéder aux données via un composant Salesforce par défaut (DataloaderPartnerUI), affirment les chercheurs. Ce composant donnerait ensuite aux utilisateurs l’accès aux API sans nécessiter d’authentification multi-facteur (MFA). ‘Cependant, cela permet également de voler relativement facilement et à grande échelle des données des systèmes’, selon l’Incident Respons Team de Computest Security. ‘Il est étonnant de constater qu’il s’agit là d’un paramètre par défaut dans les applications Salesforce.’
Paramètre plage IP trop tolérant
Outre l’absence de MFA, l’Incident Respons Team a observé que dans plusieurs environnements Salesforce, le paramètre familier plage IP est trop tolérant et inclut toutes les adresses IP (allant de 0.0.0.0 à 255.255.255.255 donc). ‘Cette configuration permet également à toute personne disposant d’informations de connexion compromises d’accéder aux données et de les extraire’, prévient Computest Security.
‘On constate clairement que le modus operandi des cybercriminels a changé’, déclare Daan Keuper, expert en sécurité et hacker éthique chez Computest Security. ‘A mesure que la sécurité des terminaux s’est améliorée, le focus s’est déplacé vers l’abus des vulnérabilités dans d’autres composants, comme – dans ce cas – les applis. Je m’attends à ce que cette approche soit de plus en plus souvent utilisée.
Pour renforcer la sécurité, Computest Security conseille aux organisations de contrôler et de limiter leur paramètre familier plage IP et d’activer immédiatement l’authentification multi-facteur.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici