Một cảnh báo quan trọng đã được phát đi về một chiến dịch tấn công đang diễn ra, nhắm vào các trang web Experience Cloud bị lỗ hổng cấu hình. Nhóm tác nhân đe dọa nổi tiếng ShinyHunters đã nhận trách nhiệm về một vụ đánh cắp dữ liệu lớn, khai thác các cấu hình người dùng khách (guest user) có quyền hạn quá mức, được cho là đã ảnh hưởng đến hàng trăm tổ chức có hồ sơ cao.
Phân tích Kỹ thuật về Lỗ hổng Cấu hình Guest User
Theo Trung tâm Điều hành An ninh Mạng của Salesforce, chiến dịch này không dựa vào một lỗ hổng trong chính nền tảng Salesforce. Thay vào đó, nó khai thác các lỗ hổng cấu hình từ phía khách hàng.
Trong một thiết lập Experience Cloud thông thường, một hồ sơ người dùng khách cấp cho khách truy cập không xác thực quyền truy cập vào dữ liệu công khai. Tuy nhiên, khi các hồ sơ này được cấu hình sai với các quyền hạn quá mức, các bản ghi nội bộ nhạy cảm sẽ bị lộ.
Kỹ thuật Khai thác của ShinyHunters
Các tác nhân đe dọa thực hiện quét hàng loạt các trang web công khai bằng cách sử dụng một phiên bản sửa đổi của Aura Inspector. Đây là một công cụ mã nguồn mở ban đầu được phát triển bởi Mandiant để kiểm tra bảo mật.
Trong khi công cụ tiêu chuẩn xác định các rủi ro lộ dữ liệu, ShinyHunters đã tùy chỉnh một phiên bản có khả năng chủ động trích xuất dữ liệu. Bằng cách thăm dò các điểm cuối API bị lộ cụ thể, kẻ tấn công có thể truy vấn trực tiếp các đối tượng CRM của Salesforce mà không cần đăng nhập để thu thập thông tin nhạy cảm.
Chiến dịch này tận dụng sự lỏng lẻo trong việc thiết lập quyền truy cập cho người dùng khách. Điều này cho phép kẻ tấn công bỏ qua các hạn chế giao diện và kéo dữ liệu chưa được che dấu trực tiếp từ cơ sở dữ liệu backend.
Hậu quả và Tác động của Rò rỉ Dữ liệu
ShinyHunters tuyên bố đã xâm nhập tới 400 trang web và khoảng 100 công ty có hồ sơ cao. Dữ liệu bị đánh cắp thường bao gồm thông tin cá nhân như tên và số điện thoại. Thông tin này sau đó được sử dụng để thúc đẩy các cuộc tấn công kỹ thuật xã hội và tấn công lừa đảo qua điện thoại (vishing) có mục tiêu.
Hơn nữa, nhóm này đang sử dụng các chiến thuật tống tiền quen thuộc của mình. Họ đe dọa sẽ công bố dữ liệu kinh doanh đã bị đánh cắp trên các trang web rò rỉ dữ liệu trên dark web nếu tiền chuộc không được thanh toán.
Các tổ chức bị ảnh hưởng bởi lỗ hổng cấu hình này đối mặt với rủi ro uy tín nghiêm trọng và các hậu quả pháp lý liên quan đến việc vi phạm dữ liệu cá nhân.
Cơ chế Bảo mật Salesforce và Yêu cầu Cấu hình Đúng
Salesforce hoạt động dựa trên một mô hình bảo mật nhiều lớp bao gồm:
- Truy cập đối tượng (Object Access)
- Truy cập bản ghi (Record Access)
- Bảo mật cấp trường (Field-Level Security)
- Che dấu giá trị trường (Field Value Masking)
Nếu bất kỳ lớp nào trong số này được cấu hình quá rộng rãi cho người dùng khách, toàn bộ chuỗi bảo mật sẽ bị xâm phạm. Đây chính là gốc rễ của lỗ hổng cấu hình mà ShinyHunters đã khai thác.
Ngăn chặn Rò rỉ Dữ liệu và Củng cố Bảo mật Experience Cloud
Salesforce khuyến nghị các quản trị viên phải ngay lập tức áp dụng mô hình truy cập ít đặc quyền nhất (least privilege) để bảo vệ môi trường của họ. Các hành động phòng thủ quan trọng bao gồm:
- Kiểm tra và đánh giá quyền truy cập của người dùng khách: Đảm bảo rằng hồ sơ người dùng khách chỉ có các quyền hạn tối thiểu cần thiết để thực hiện các chức năng công khai.
- Hạn chế khả năng hiển thị dữ liệu: Sử dụng cài đặt bảo mật cấp trường và che dấu giá trị trường để ngăn chặn việc lộ dữ liệu nhạy cảm.
- Giám sát hoạt động API: Triển khai giám sát để phát hiện các truy vấn API bất thường hoặc không được ủy quyền.
- Đào tạo và nâng cao nhận thức: Đảm bảo đội ngũ quản trị hiểu rõ tầm quan trọng của việc cấu hình bảo mật đúng đắn trong Experience Cloud.
Các tổ chức sử dụng Salesforce Experience Cloud phải hành động nhanh chóng để kiểm toán môi trường của họ. Việc bảo mật đúng cách cài đặt người dùng khách là rất quan trọng để phòng thủ chống lại chiến dịch tấn công đang diễn ra này và tránh các trường hợp rò rỉ dữ liệu. Để biết thêm chi tiết về các biện pháp bảo vệ, tham khảo hướng dẫn từ Salesforce: Protecting Your Data: Essential Actions to Secure Experience Cloud Guest User Access.
Việc không tuân thủ các nguyên tắc bảo mật cơ bản này có thể dẫn đến các lỗ hổng cấu hình nghiêm trọng, tạo cơ hội cho các tác nhân đe dọa như ShinyHunters khai thác và gây ra những thiệt hại đáng kể.
