تواجه Salesforce تهديدات متزايدة بسبب إعدادات المستخدم الضيف المفرطة المرونة. تعرف على كيفية حماية بياناتك.
تستغل الجهات الفاعلة التهديدية إعدادات المستخدم الضيف في Salesforce Experience Cloud التي تعتبر “مرنة بشكل مفرط” لسرقة البيانات الحساسة، وفقًا لما ذكرته شركة Salesforce للأمن في منشور مدونة بتاريخ 7 مارس.
ذكرت Salesforce أن هذه المشكلة لا تتعلق بوجود ثغرة في منصتها وأن Salesforce تبقى آمنة. “تحقيقاتنا حتى الآن تؤكد أن هذا النشاط يتعلق بإعدادات المستخدم الضيف التي قام العملاء بتكوينها،” جاء في منشور المدونة.
واجهت حالات Salesforce مجموعة واسعة من الحملات على مدار العام الماضي أو نحو ذلك. وكان من أبرزها، استهداف مجموعات التهديد المدفوعة ماليًا مثل ShinyHunters لحالات Salesforce من خلال هجمات الهندسة الاجتماعية التي بدأت في الصيف الماضي. وفي نهاية المطاف، أغلقت السلطات الفيدرالية موقع ابتزاز مخصص مرتبط بالحملة، ولكن حتى بعد ذلك، يبدو أن الهجمات استمرت.
في حملة تهديد ثانية متميزة العام الماضي، قام جهة فاعلة تُعرف باسم Scattered Lapsus$ Hunters (التي تجمع بين Scattered Spider وLapsus$ وShinyHunters) بسرقة مجموعة واسعة من البيانات التي تخص العشرات من عملاء Salesforce قبل استخدامها لابتزازهم. وكانت هذه الحملات منفصلة عن هجوم سلسلة التوريد Salesloft Drift من صيف 2025.
لمعالجة المشكلة الموضحة في منشور مدونة Salesforce، قدمت شركة CRM العملاقة عدة توصيات للعملاء للتحقق من أنفسهم وحماية أنفسهم من الاختراق.
مهاجمون يسرقون بيانات عملاء Salesforce
تقول Salesforce في منشور مدونتها إن مجموعة “معروفة” من الجهات الفاعلة تهدد قد استغلت نسخة معدلة من الأداة مفتوحة المصدر Aura Inspector لمسح مواقع Experience Cloud العامة بشكل جماعي. بينما كانت Aura Inspector في الأصل تحدد الكائنات الضعيفة من خلال استكشاف نقاط نهاية API التي تكشفها المواقع، “قد طور الفاعل نسخة مخصصة من الأداة قادرة على تجاوز التعرف إلى استخراج البيانات فعليًا – مستغلاً إعدادات المستخدم الضيف المفرطة المرونة،” كما ذكرت الشركة.
“في موقع Salesforce Experience متاح للجمهور، يشارك الزوار المجهولون ‘ملف تعريف المستخدم الضيف’. وعادةً ما يُستخدم هذا للسماح لمستخدم غير مصادق عليه بالوصول إلى البيانات التي يُتوقع أن تكون متاحة للجمهور،” أوضحت Salesforce. “ومع ذلك، إذا تم تكوين هذا الملف الشخصي بأذونات مفرطة، فقد تكون البيانات التي لا يُفترض أن تكون متاحة للجمهور قابلة للوصول، مما يسمح لجهة فاعلة تهديدية باستعلام كائنات Salesforce CRM مباشرة دون تسجيل الدخول.”
رفضت Salesforce مشاركة أي نسب لجهات فاعلة تهديدية مع Dark Reading، على الرغم من أن ShinyHunters قد أخذت الفضل في بعض الهجمات.
يعتبر عملاء Experience Cloud “في خطر” إذا كانوا يستخدمون ملف تعريف المستخدم الضيف وقد قاموا بتكوين الأذونات للسماح بالوصول العام إلى الكائنات والحقول التي لا يُفترض أن تكون متاحة وفقًا لإرشادات تكوين Salesforce الموصى بها. وقد تضمن النشاط اللاحق هجمات هندسة اجتماعية مستهدفة (بما في ذلك الاحتيال الصوتي)، وهو ما يتماشى مع أسلوب عمل ShinyHunters.
نظرًا للمخاطر التي تطرحها هذه الحملة، حثت Salesforce عملاء Experience Cloud على تدقيق تكوينات المستخدم الضيف، وضبط الافتراضات على مستوى الشركة إلى “خاص”، وتعطيل واجهات برمجة التطبيقات العامة، وتقييد الرؤية، وتعطيل التسجيل الذاتي إذا لم يكن مطلوبًا، ومراجعة سجلات مراقبة الأحداث بانتظام، وإضافة جهة اتصال أمنية. التعليمات لجميع هذه التوصيات موجودة في المدونة.
المزيد من التهديدات ضد حالات Salesforce
نظرًا لأن أنظمة إدارة العلاقات مع العملاء تحتوي بطبيعتها على بيانات قيمة ولأن Salesforce تهيمن على هذا القطاع، فلا عجب أن الجهات الفاعلة تهدد عملاء Salesforce. ومع ذلك، من الجدير بالذكر أن العديد من الحملات البارزة قد نشأت في فترة زمنية قصيرة جدًا.
يقول لويس إيشينباوم، كبير مسؤولي التكنولوجيا الفيدراليين في شركة ColorTokens للأمن، لـ Dark Reading إن هذه الهجمات تتزايد لأن المهاجمين قد حددوا أن “تنفيذها سهل وأن Salesforce تخزن كمية كبيرة جدًا من البيانات الحساسة.”
يضيف أنه عندما تقوم المنظمات بتمكين Experience Cloud، يتم تلقائيًا إنشاء ملف تعريف مستخدم ضيف، مما يسمح للمستخدمين غير المصادق عليهم بالوصول إلى الموقع. “أوصي بأن تقوم Salesforce بتعطيل الإنشاء التلقائي لملفات تعريف المستخدم الضيف وترك المنظمات تقرر ما إذا كانت ترغب في إنشاء حساب ضيف،” يقول إيشينباوم.
يشرح تري فورد، كبير مسؤولي الأمن والثقة في Bugcrowd، أن أنظمة المنصات صعبة الأمان لأنها تتعرض للاختراق من خلال استغلال علاقات الثقة وإدارة الاعتمادات بشكل غير جيد، خاصة عبر التكاملات الطرفية والهويات غير البشرية (NHI).
“على مدار السنوات الخمس إلى العشر الماضية، شهدنا عددًا من الشركات الناشئة في مجال أمان SaaS تهدف بشكل خاص إلى الأذونات للحسابات البشرية وNHI، ونطاق الأذونات المطبقة، وعمر واستخدام تلك الاعتمادات،” يقول فورد. “يحتاج الشركات إلى مراجعة تلك التكاملات وأنماط وصول الحسابات، واتخاذ خطوات لتقوية استخدامها، وتطبيق حدود تكامل IP حيثما كان ذلك ممكنًا، واستخدام أحدث نماذج الإشارة للمصادقة والتفويض لتكاملاتهم.”
تأكد من مراجعة إعدادات المستخدم الضيف في Salesforce لحماية بياناتك من التهديدات المحتملة.
