Sicherheitsrisiko Bei Salesforce Industry Cloud

Sicherheitsrisiko Bei Salesforce Industry Cloud

Lucas Morel

SicherHeitsforscher Haben 20 Uniserere Konfigurationn in Den Low-Code-Komponten Der Salesforce Industry Cloud Entdeckt, Die Zur Offenlegung von Daten Führen Könnten.

Die Vertikal Ausgerichtete Lösungssuite Salesforce Industry Cloud Umfasst Eine Low-Code-Pattform, Die VorgeFertigte Tools für DIGITALE Transformation für Besttimmte Branchen wie Finanzdienstleistungen und Fertigung Bereitstellt. Forscher von Appomni Haben Nun Herausgefunden, Dass Kunden Ihre Komponenten Leicht Falsch Konfigurieren Können. DADURCH BESTEHT DIE GEFAHR, DASS ANGREIFER ZUGRIFF AUF Verschlüsselte Kundendaten, Sitzungsdaten, Anmeldededaten und Geschäftsinformationen Erhalten.

Tools à faible code Richten Sich un développeur citoyen und ermöglichen es „Nicht-Technischen Anwendern, Kritische Systeme und Sensible Daten Zu Verwalten », Erklärt Aaron Costello, Leiter der Saas-SicherHerheitsforschung Bei Appomni. „Diese Erweiterung Kann Jedoch Zu Lasen Der Sicherheit Gehen und Das Risiko von Fehlkonfigurationn Durch Kunden Drastisch Erhöhen. »

Der ExpeRte Warnt: „Diese Kombination Aus flexibilität und impliziertem vertrauen bedeutet, dass die fehlkonfiguration einer kompongete oder das übersehen einer einstellung durch einen kunden zu einer systemweiten ouiner von daten führen kann. »

Zu den Identifizierten Risiken Zählen:

  • Low-Code-Komponenten, Die Standardmäßig Keine Zugriffskontrollen Durchführen Oder Verschlüsselte Datenfelder Nicht Berücksichtigen;
  • Code de flux de travail, Der von externe oder Nicht Authentifizierten Benutzern Ausgeführt Werden Kann;
  • Mécanisme de mise en cache, die Zur Umgehung von Zugriffskontrollen Führen Können;
  • Schlecht Entwickelte Off-Platform-Anwentenngen, Die Zum Diebstahl von api-tokens Führen Können;
  • API-SCHLUSSEL UND ANDERE DATEN, Die Direkt dans Komponenten Eingebettet Sind und Ohne Berechtigung Gelesen Werden Können;
  • UNSEMBRE BERECHTIGUNGEN Für Gespeicherte Workflows.

Salesforce Gibt Fünf Cves Heraus

Appomni Hat Insgesamt 20 Risiken Durch Fehlkonfigurationn Identifiziert. Daraufhin Hat Salesforce Cves und Leitlien Herausgegeben, Um Fünf Davon Zu Verhindern. Die übrigen Müssen von den Kunden Selbst Vermieden Werden.

Die fünf HerausgegeBenen Cves Bettreffen Probleme, Die in Den Komponten Flexcards und Mappers de données von Omnistudio Entdeckt Wurden.

Cartes flexiblesdie daten Aus Salesforce und drittanbieterquellen für die Verwendung in workflows oder zur anzeige in kundenorientieurten webansichten abrufen, sind für Vier der cves Verantwortlich:

  • CVE-2025-43698: die soql-datenquelle ignoriert die Sicherheit auf feldebene (fls) und legt alle felddaten für datensätze offen.
  • CVE-2025-43699: DAS FELD „ERFORDERLICHE BERECHTIGUNGEN“ Kann Umgangen Werden, Da Die überprüfung auf der Client-Seite Durchgeführt Wird.
  • CVE-2025-43700: Die Berechtigung „Verschlüsselte DATEN ANZEIGEN“ Wird Nicht Durchgesetzt, Sodass Daten, Die Auf Klassische Weise Verschlüsselt Sind, Für Nicht Autorisierte Benutzer im Klatexext Angezeigt Werden.
  • CVE-2025-43701: Gastbenutzer Haben Zugriff auf Werte für Benutzerdefinierte Einstellungen.

Mappors de données ist eine funktion, die als option für flexcards-datenquellen oder als aktion im ra rahmen von backend-intégationsprozeduren (iprocs) für die serveverseitige datenverarbeitung verfügbar ist. Les mappeurs de données lesen Daten und wandeln sie dans le formate um, die für die verwenng dans les apis oder salesforce-objekten geeignet sind.

Die Appomni-Forscher Entdeckten, Dass Zwei der Vier Data Mappen-Typen – „Extract« und „Turbo Extract» – Standardmäßig Keine Fls Erzwingen und Verschlüsselte werte als klartext an Benutzer Zurückgeben. Auch, Wenn Diese Keine Berechtigung Zum Anzeigen Dieser Werte Haben. Salesforce Hat diesem Problem Die CVE-2025-43697 Zugewiesen.

Zusätzliche KonfigurationsRisiken

Fünfzehn Weitere Konfigurationsmuster Können Ebenfalls Schwerwiegende Sicherheitsrisiken für Kunden von Salesforce Industry Cloud Mit Sich Brinden.

Beispelsweise werden datenmappers und iproc-metadaten mithilfe eines mécanisme namens „cache à l’échelle« zwischengespeichert, um die ausführung à zukunft zu beschleunigen. Benutzer Müssen Partage Rules Konfigurière, Um Datenmappers oder iProcs Auszuführen. Dabei Stellte Das Forscheram Fest, Dass Diese Komponenten Nach dem zwischenspeichern für alleanwender Unabhängig von ihren Berechtigungen Ausführbar Sind.

„Leider gibt es keine konfigurationseinstellung, die die Verwenng von échelle cache unter berücksichtigung der Sicherheitskontrollen für datunmapper ermöglicht”, Kriticiert Costello. „Nach gründlichen Tests, einschließlich der Aktivierung der OmniStudio-Einstellung „CheckCachedMetadataRecordSecurity“, hat sich herausgestellt, dass die einzige Möglichkeit, Autorisierungsprüfungen für Datenmapper durchzusetzen, darin besteht, Scale Cache vollständig zu deaktivieren. « 

Integrationsverfahren Berücksichtigen Demnach weder die einstellUng „erforderliche Berechtigung« Noch die Freigaberegeln von Data Mappern oder Anderen iprocs, die sie im rahmen ihrer aktionen aufrufen. Dieses Verhalten Wird von Salesforce Dokumiert, Ist Jedoch äußerst Riskant. Alors Müssen Benutzer Nur Die Zugriffskontrolle des Ursprünglichen Iproc Erfüllen, Um Einen Data Mappen Oder iProc aufzurufen, der an seinem prozessablauf beteiligt it.

„Es ist Möglich, dass unternehmen über allgemein zugängliche iprocs verfügen, die mächtige aktionen aufrufen”, warnt costello. Der Grund Dafür Sei, Dass Sie Fälschlicherwerweise Davon Ausgehen, Dass die Berechtigungsanforderungen Aller Aktionen Eines iproc für den aufrufenden benutzer überprüft werden.

Ein Weiteres Häufiges KonfigurationsRisiko besteht bei http-aktionen, die häufig als teil von iprocs zur kommunikation mit externten apis verwendet werden. Wenn Diese apis eine Authentifizierung Erfordern, Könnten Unternehmen benutzernamen und passwörter oder api-zugriffstoken direkt in Den Hauptteil des iproc coieren.

Jeder, Der Einen Iproc Ausführen Kann, Kann auch die Darin Gespeicherten Fest Codeten Werte Sehen. À Vielen Fällen Gehören Dazu auch externe benutzer oder sogar gastbenutzer, die iprocs im debug-modus ausführen können.

Flexcards und iprocs Unterrstützen Einen DatenquetTyp Namens «Actions distantes», der die Ausführung von Apex-Klassen Ermöglicht. Apex ist die java -ähnliche objektorientierte sprache von salesforce zum erstellen von anwentenn auf seiner plattform.

Wenn Eine Omnistudio-Komponente Versucht, Eine Apex-Klasse über Remote Actions Auszuführen, Wird Die Anforderung über die Apex-Klasse „BusinessProcessDisplayController« Weitergeleitet. Diese enthält eine méthode namens „genericinvoke2nocont“, die nicht überprüft, ob der aufrufende benutzer über die Berechtigung Zum Zugriff auf die-aktion verfügt.

„Dies führt zu einer umgehung der Autorisierung, wodurch sowohl interne als auch externe benutzer Leistungsstarken apex-code ausführen können, der ohne freigabe oder odne impillier von SicherheitsmaßnaMen wie flsgeführt wird », führTrt Aus. ER Fügt Hinzu, Dass DaS Das Standardverhalten Sei.

Eine Weitere Funktion, Die Zur Offenlegung Sensibler Informationen Führen Kann, Sind Datenpakete, MIT Denen Komponenten dans Andere Salesforce-Instanzen Exportiert, Beziehungsweise von Dort importierert Werden Können. Diese funktion hinterlässt artefakte sous forme von json-définitionsdateien, die abhängige objekte wie iprocs enthalten können, die wiederum data mapper enthalten.

„Ein Benutzer mit lesezugriff auf dieses objekt und übermäßig weit gefassten freigaberegeln kann die json-dateien der datetenpaketkomponente herunterladen, die im sobject„ attachment “gespeichert sind“, so Der Forschungsleiter.

„Da diese anhänge ausschließlich auf zugriffsprüfungen im feld„ id “des omnidatapack basieren, benötigen benutzer keine beberechtigungen auf felbebene für das sobject‚ omnidatapack ‘, um auf diese diese zuzufenf, lerechtigen » auf objektd- und freigaberegelebene. « 

Datenpakete Können Auch Verwaist Werden, Beispsielsweise Wenn der Benutzer, Der Sie Erstellt, Während des Vorgangs auf die schaltfläche „Abbrechen“ Klickt. Dans Diesem Fall Werden die Anhänge erstellt, aber nie Entfernt. Schlimmer Noch, Sie Werden Nicht auf der Datenpaket-inventaSeite à Omnistudio Aufgeführt, était ES Für Administratorn Schwieriger Macht, Sie Zu Erkennen.

Wenn Sie dans le site Web d’Eine externe Eingebett Sind, Benötigen Flexcard- oder omniscript-komponenten einen zugriffstoken, um auf Salesforce Zugreifen Zu Können. Diese token müssen mit einer omniout-app erstellt werden. Der Endbenutzer Einer Site Kann Jedoch Die Api-Anfragen Lokal dans Seinem Browser überprüfen und diesen Token ExtraHieren, Der Dann Misbraucht Werden Kann. Costello Empfiehlt Unternehmen, für die kommunikation zwischen externe omnistudio-komponenten und Salesforce einen proxy zu verwenden.

Ein Proxy Hilft Allerdings Nicht, Wenn der Token Selbst dans Einen Omniout-Code eingebettet ist, Der Kompromittierer oder dans Öffentlichen versionskontrollSymenmen wie github gespeichert wurde. Darüber Hinaus Könte Ein Proxy Risiken Mit Sich Bringen, Wenn Er Schlecht KonfiguriRert ist und anfragen ohne Validieung Weiterleitet. Benutzer Könnten Versuchen, paramètre und werte zu Manipulieren.

„Da Omniout in der Regel auf Authentifizierte Salesforce-Apis Zurückgreift, Wird Diese Kontoanforderung Erfüllt, Indem der Omniout-Komponente Ein Zugriffstoken Für Verbundene Apps BereiTgettell Benter Verwendet Verwende Wird « , So Costello. „Obwohl décède dans le Der Salesforce-Dokumentation, dans Der der ersteltengsprozess Für Verbundene Apps Beschrieben Wird, Nicht Ausdrücklich Erwähnt Wird, ist es unerlässlich, Dass Unternehmen Keinen Zugrriffstenk Konto Wie Dem des Systemadministrateurs Verknüpft ist. « 

Schließlich Verfügen Omniscripts, die mehrere backend-operationen über iprocs, data mappers und flexcards miteinander Verknüpfen, über eine funktion namens „Session sauvé ». MIT Dieser Können Benutzer Ihren Fortschritt Speichern und Später Zum Skript Zurückkehren. Werden Solche Sitzungen Geriert, Wird im Omniscript Enregistré session Sobject Ein Datensatz Zusammen Mit Allen Daten Erstellt, Die vom Skript bis Zum Speichern Eingegeben Oder Zurückgegegeben Wurden. Standardmäßig Gibt es Keine Ablaufzeit für diese Gespeicherten Sitzungen.

„Obwohl Gast- und / oder Community-Site-Benutzer Ihre Eigenen Sitzungen Nicht Speichern Können, Werden Sie Nicht Daran Gehindert, Die Daten Anderer Benutzersitzungen Zu Lesen, Wenn Sie Eüber Diefper. Angriffsvektor stellt ein Risiko dar, das sowohl von internen als auch von externen identitäten ausgenutzt werden könte. « 

Abhilfemaßnahmen

Für die Unisicheren konfigurationsen, die Salesforce noch nicht behoben hat, gibt appomni in Seinem dokument emprehlungen zur Risikominderung. Dazu zählt eine liste von objekten, Deren objekt-, feldd-und freigaberegelkonfigurationn Regelmäßig überprüft werden sollten. Die reduzierung der Zugriffsebène für omnistudio sangloter und datensätze auf das notwendigste sei die erste verteidigungslinie, donc das unternehmen. (JM)

Lessepp: Hacker Erbeuten Salesforce-Daten Mit Vishing

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A young man in a white hat and a white and blue striped shirt juggles balls on a white background
La cybersécurité n’est pas sous-financée, elle est sous-gérée
Qui livre le Darknet | Chouette noire
Qui livre le Darknet | Chouette noire
Comment justifier vos investissements en sécurité
Comment justifier vos investissements en sécurité