Een beveiligingsonderzoeker heeft 21 mogelijke risico’s in Salesforce Industries ontdekt. De meeste daarvan moeten door klanten zelf worden aangepakt.
Salesforce heeft op aansturen van beveiligingsbedrijf AppOmni vijf kwetsbaarheden erkend in de Industry Clouds, onderdeel van het Customer 360-platform. De vijf erkende kwetsbaarheden variëren van milde CVSS-scores (5,3) tot meer kritiek (7,5). Aanvallers kunnen er gebruik van maken om beveiligingscontroles te omzeilen en gevoelige klanteninformatie te stelen.
De bevindingen van AppOmni beperken zich niet tot die vijf kwetsbaarheden. Nog eens zestien bijkomende risico’s kunnen ontstaan door foutieve configuraties. Die zijn echter de verantwoordelijkheid voor de klant.
Eigen verantwoordelijkheid
Onderzoeker Aaron Costello merkte op dat misconfiguraties in Salesforce Industries tot onder meer sessieovernames, diefstal van inloggegevens en ongeautoriseerde toegang tot versleutelde data kunnen leiden. De risico’s doen zich voor in verschillende onderdelen van het cloudplatform.
Salesforce gaf toe dat vijf van de bevindingen CVE-status waardig zijn. Drie daarvan zijn inmiddels gepatcht. Voor twee anderen zijn configuratierichtlijnen voorzien, waarbij actie vereist is van klanten. Deze kwetsbaarheden laten onder andere toe dat gastgebruikers versleutelde gegevens kunnen lezen of dat client-side permissiecontroles omzeild worden.
De overige zestien risico’s vallen onder het configuratiebeheer van de klant zelf. Zo is het mogelijk dat componenten standaard geen toegangscontroles afdwingen of dat gevoelige gegevens, zoals API-sleutels, leesbaar zijn voor ongeautoriseerde gebruikers. Sommige cachingmechanismen kunnen zelfs toegangsniveaus omzeilen en data tussen gebruikers lekken.
Maturiteitskloof
Salesforce hanteert zoals veel providers van clouddiensten het ‘gedeelde verantwoordelijkheidsprincipe’. Dat wil zeggen dat Salesforce de kluis voorziet, maar klanten er zelf aan moeten denken die op slot te doen. Daar loopt het volgens Costello spaak. Het Industries-platform is ontwikkeld op maat van niet-technische gebruikers, wat volgens de onderzoekers een ‘maturiteitskloof’ creëert, omdat het dezelfde beveiliging als traditionele software vraagt.
Organisaties krijgen de aanbeveling om onder meer toegangsregels te beperken, caching correct te configureren, en gevoelige componenten extra te beveiligen. Voor klanten die onder regelgeving zoals GDPR vallen, kan een verkeerde configuratie leiden tot ernstige complianceproblemen.
Salesforce benadrukt via Hacker News dat het de kwetsbaarheden die het zelf kan patchen opgelost heeft en dat andere risico’s het gevolg van foutieve configuraties zijn. Die kunnen zeer grote gevolgen hebben, zoals een reeks incidenten bij Snowflake-klanten vorig jaar illustreerde.