{"id":3575,"date":"2025-06-17T12:15:08","date_gmt":"2025-06-17T12:15:08","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3575"},"modified":"2025-06-17T12:15:08","modified_gmt":"2025-06-17T12:15:08","slug":"sicherheitsrisiko-bei-salesforce-industry-cloud","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3575","title":{"rendered":"Sicherheitsrisiko bei Salesforce Industry Cloud"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Die Salesforce Industry Cloud ist mit Konfigurationsrisiken behaftet.\n

Sundry Photography \u2013 shutterstock.com<\/p>\n<\/div>\n

Die vertikal ausgerichtete L\u00f6sungssuite Salesforce Industry Cloud umfasst eine Low-Code-Plattform, die vorgefertigte Tools f\u00fcr die digitale Transformation f\u00fcr bestimmte Branchen wie Finanzdienstleistungen und Fertigung bereitstellt. Forscher von AppOmni haben nun herausgefunden, dass Kunden ihre Komponenten leicht falsch konfigurieren k\u00f6nnen. Dadurch besteht die Gefahr, dass Angreifer Zugriff auf verschl\u00fcsselte Kundendaten, Sitzungsdaten, Anmeldedaten und Gesch\u00e4ftsinformationen erhalten.<\/p>\n

Low-Code-Tools richten sich an Citizen Developer und erm\u00f6glichen es \u201enicht-technischen Anwendern, kritische Systeme und sensible Daten zu verwalten\u201c, erkl\u00e4rt Aaron Costello, Leiter der SaaS-Sicherheitsforschung bei AppOmni. \u201eDiese Erweiterung kann jedoch zu Lasten der Sicherheit gehen und das Risiko von Fehlkonfigurationen durch Kunden drastisch erh\u00f6hen.\u201c<\/p>\n

Der Experte warnt: \u201eDiese Kombination aus Flexibilit\u00e4t und impliziertem Vertrauen bedeutet, dass die Fehlkonfiguration einer Komponente oder das \u00dcbersehen einer Einstellung durch einen Kunden zu einer systemweiten Offenlegung von Daten f\u00fchren kann.\u201c<\/p>\n

Zu den identifizierten Risiken z\u00e4hlen:<\/p>\n

Low-Code-Komponenten, die standardm\u00e4\u00dfig keine Zugriffskontrollen durchf\u00fchren oder verschl\u00fcsselte Datenfelder nicht ber\u00fccksichtigen;<\/p>\n

Workflow-Code, der von externen oder nicht authentifizierten Benutzern ausgef\u00fchrt werden kann;<\/p>\n

Caching-Mechanismen, die zur Umgehung von Zugriffskontrollen f\u00fchren k\u00f6nnen;<\/p>\n

Schlecht entwickelte Off-Platform-Anwendungen, die zum Diebstahl von API-Tokens f\u00fchren k\u00f6nnen;<\/p>\n

Sensible API-Schl\u00fcssel und andere Daten, die direkt in Komponenten eingebettet sind und ohne Berechtigung gelesen werden k\u00f6nnen;<\/p>\n

Unsichere Berechtigungen f\u00fcr gespeicherte Workflows.<\/p>\n

Salesforce gibt f\u00fcnf CVEs heraus<\/strong><\/h2>\n

AppOmni hat insgesamt 20 Risiken<\/a> durch Fehlkonfigurationen identifiziert. Daraufhin hat Salesforce CVEs und Leitlinien herausgegeben, um f\u00fcnf davon zu verhindern. Die \u00fcbrigen m\u00fcssen von den Kunden selbst vermieden werden.<\/p>\n

Die f\u00fcnf herausgegebenen CVEs betreffen Probleme, die in den Komponenten FlexCards und Data Mappers von OmniStudio entdeckt wurden.<\/p>\n

FlexCards<\/strong>, die Daten aus Salesforce und Drittanbieterquellen f\u00fcr die Verwendung in Workflows oder zur Anzeige in kundenorientierten Webansichten abrufen, sind f\u00fcr vier der CVEs verantwortlich:<\/p>\n

CVE-2025-43698: Die SOQL-Datenquelle ignoriert die Sicherheit auf Feldebene (FLS) und legt alle Felddaten f\u00fcr Datens\u00e4tze offen.<\/p>\n

CVE-2025-43699: Das Feld \u201eErforderliche Berechtigungen\u201c kann umgangen werden, da die \u00dcberpr\u00fcfung auf der Client-Seite durchgef\u00fchrt wird.<\/p>\n

CVE-2025-43700: Die Berechtigung \u201eVerschl\u00fcsselte Daten anzeigen\u201c wird nicht durchgesetzt, sodass Daten, die auf klassische Weise verschl\u00fcsselt sind, f\u00fcr nicht autorisierte Benutzer im Klartext angezeigt werden.<\/p>\n

CVE-2025-43701: Gastbenutzer haben Zugriff auf Werte f\u00fcr benutzerdefinierte Einstellungen.<\/p>\n

Data Mappers<\/strong> ist eine Funktion, die als Option f\u00fcr FlexCards-Datenquellen oder als Aktion im Rahmen von Backend-Integrationsprozeduren (IProcs) f\u00fcr die serverseitige Datenverarbeitung verf\u00fcgbar ist. Data Mappers lesen Daten und wandeln sie in Formate um, die f\u00fcr die Verwendung in APIs oder Salesforce-Objekten geeignet sind.<\/p>\n

Die AppOmni-Forscher entdeckten, dass zwei der vier Data Mapper-Typen \u2013 \u201eExtract\u201c und \u201eTurbo Extract\u201c \u2013 standardm\u00e4\u00dfig keine FLS erzwingen und verschl\u00fcsselte Werte als Klartext an Benutzer zur\u00fcckgeben. Auch, wenn diese keine Berechtigung zum Anzeigen dieser Werte haben. Salesforce hat diesem Problem die CVE-2025-43697<\/strong> zugewiesen.<\/p>\n

Zus\u00e4tzliche Konfigurationsrisiken<\/strong><\/h2>\n

F\u00fcnfzehn weitere Konfigurationsmuster k\u00f6nnen ebenfalls schwerwiegende Sicherheitsrisiken f\u00fcr Kunden von Salesforce Industry Cloud mit sich bringen.<\/p>\n

Beispielsweise werden Datenmappers und IProc-Metadaten mithilfe eines Mechanismus namens \u201eScale Cache\u201c zwischengespeichert, um die Ausf\u00fchrung in Zukunft zu beschleunigen. Benutzer m\u00fcssen Sharing Rules konfigurieren , um Datenmappers oder IProcs auszuf\u00fchren. Dabei stellte das Forscherteam fest, dass diese Komponenten nach dem Zwischenspeichern f\u00fcr alleAnwender unabh\u00e4ngig von ihren Berechtigungen ausf\u00fchrbar sind.<\/p>\n

\u201eLeider gibt es keine Konfigurationseinstellung, die die Verwendung von Scale Cache unter Ber\u00fccksichtigung der Sicherheitskontrollen f\u00fcr Datenmapper erm\u00f6glicht\u201c, kritisiert Costello. \u201eNach gr\u00fcndlichen Tests, einschlie\u00dflich der Aktivierung der OmniStudio-Einstellung \u201eCheckCachedMetadataRecordSecurity\u201c, hat sich herausgestellt, dass die einzige M\u00f6glichkeit, Autorisierungspr\u00fcfungen f\u00fcr Datenmapper durchzusetzen, darin besteht, Scale Cache vollst\u00e4ndig zu deaktivieren.\u201c<\/p>\n

Integrationsverfahren ber\u00fccksichtigen demnach weder die Einstellung \u201eErforderliche Berechtigung\u201c noch die Freigaberegeln von Data Mappern oder anderen IProcs, die sie im Rahmen ihrer Aktionen aufrufen. Dieses Verhalten wird von Salesforce dokumentiert, ist jedoch \u00e4u\u00dferst riskant. So m\u00fcssen \u00a0Benutzer nur die Zugriffskontrolle des urspr\u00fcnglichen IProc erf\u00fcllen, um einen Data Mapper oder IProc aufzurufen, der an seinem Prozessablauf beteiligt ist.<\/p>\n

\u201eEs ist m\u00f6glich, dass Unternehmen \u00fcber allgemein zug\u00e4ngliche IProcs verf\u00fcgen, die m\u00e4chtige Aktionen aufrufen\u201c, warnt Costello. Der Grund daf\u00fcr sei, dass sie f\u00e4lschlicherweise davon ausgehen, dass die Berechtigungsanforderungen aller Aktionen eines IProc f\u00fcr den aufrufenden Benutzer \u00fcberpr\u00fcft werden.<\/p>\n

Ein weiteres h\u00e4ufiges Konfigurationsrisiko besteht bei HTTP-Aktionen, die h\u00e4ufig als Teil von IProcs zur Kommunikation mit externen APIs verwendet werden. Wenn diese APIs eine Authentifizierung erfordern, k\u00f6nnten Unternehmen Benutzernamen und Passw\u00f6rter oder API-Zugriffstoken direkt in den Hauptteil des IProc codieren.<\/p>\n

Jeder, der einen IProc ausf\u00fchren kann, kann auch die darin gespeicherten fest codierten Werte sehen. In vielen F\u00e4llen geh\u00f6ren dazu auch externe Benutzer oder sogar Gastbenutzer, die IProcs im Debug-Modus ausf\u00fchren k\u00f6nnen.<\/p>\n

FlexCards und IProcs unterst\u00fctzen einen Datenquelltyp namens \u201eRemote Actions\u201c, der die Ausf\u00fchrung von Apex-Klassen erm\u00f6glicht. Apex ist die Java-\u00e4hnliche objektorientierte Sprache von Salesforce zum Erstellen von Anwendungen auf seiner Plattform.<\/p>\n

Wenn eine OmniStudio-Komponente versucht, eine Apex-Klasse \u00fcber Remote Actions auszuf\u00fchren, wird die Anforderung \u00fcber die Apex-Klasse \u201eBusinessProcessDisplayController\u201c weitergeleitet. Diese enth\u00e4lt eine Methode namens \u201eGenericInvoke2NoCont\u201c, die nicht \u00fcberpr\u00fcft, ob der aufrufende Benutzer \u00fcber die Berechtigung zum Zugriff auf die Remote-Aktion verf\u00fcgt.<\/p>\n

\u201eDies f\u00fchrt zu einer Umgehung der Autorisierung, wodurch sowohl interne als auch externe Benutzer leistungsstarken Apex-Code ausf\u00fchren k\u00f6nnen, der ohne Freigabe oder ohne Implementierung von Sicherheitsma\u00dfnahmen wie FLS ausgef\u00fchrt wird\u201c, f\u00fchrt Costello aus. Er f\u00fcgt hinzu, dass dies das Standardverhalten sei.<\/p>\n

Eine weitere Funktion, die zur Offenlegung sensibler Informationen f\u00fchren kann, sind Datenpakete, mit denen Komponenten in andere Salesforce-Instanzen exportiert, beziehungsweise von dort importiert werden k\u00f6nnen. Diese Funktion hinterl\u00e4sst Artefakte in Form von JSON-Definitionsdateien, die abh\u00e4ngige Objekte wie IProcs enthalten k\u00f6nnen, die wiederum Data Mapper enthalten.<\/p>\n

\u201eEin Benutzer mit Lesezugriff auf dieses Objekt und \u00fcberm\u00e4\u00dfig weit gefassten Freigaberegeln kann die JSON-Dateien der Datenpaketkomponente herunterladen, die im sObject \u201eAttachment\u201c gespeichert sind\u201c, so der Forschungsleiter.<\/p>\n

\u201eDa diese Anh\u00e4nge ausschlie\u00dflich auf Zugriffspr\u00fcfungen im Feld \u201eId\u201c des OmniDataPack basieren, ben\u00f6tigen Benutzer keine Berechtigungen auf Feldebene f\u00fcr das sObject \u201aOmniDataPack\u2018, um auf diese Dateien zuzugreifen, sondern nur Berechtigungen auf Objekt- und Freigaberegelebene.\u201c<\/p>\n

Datenpakete k\u00f6nnen auch verwaist werden, beispielsweise wenn der Benutzer, der sie erstellt, w\u00e4hrend des Vorgangs auf die Schaltfl\u00e4che \u201eAbbrechen\u201c klickt. In diesem Fall werden die Anh\u00e4nge erstellt, aber nie entfernt. Schlimmer noch, sie werden nicht auf der Datenpaket-Inventarseite in OmniStudio aufgef\u00fchrt, was es f\u00fcr Administratoren schwieriger macht, sie zu erkennen.<\/p>\n

Wenn sie in eine externe Website eingebettet sind, ben\u00f6tigen FlexCard- oder OmniScript-Komponenten einen Zugriffstoken, um auf Salesforce zugreifen zu k\u00f6nnen. Diese Token m\u00fcssen mit einer OmniOut-App erstellt werden. Der Endbenutzer einer Website kann jedoch die API-Anfragen lokal in seinem Browser \u00fcberpr\u00fcfen und diesen Token extrahieren, der dann missbraucht werden kann. Costello empfiehlt Unternehmen, f\u00fcr die Kommunikation zwischen externen OmniStudio-Komponenten und Salesforce einen Proxy zu verwenden.<\/p>\n

Ein Proxy hilft allerdings nicht, wenn der Token selbst in einen OmniOut-Code eingebettet ist, der kompromittiert oder in \u00f6ffentlichen Versionskontrollsystemen wie GitHub gespeichert wurde. Dar\u00fcber hinaus k\u00f6nnte ein Proxy Risiken mit sich bringen, wenn er schlecht konfiguriert ist und Anfragen ohne Validierung weiterleitet. Benutzer\u00a0 k\u00f6nnten versuchen, Parameter und Werte zu manipulieren.<\/p>\n

\u201eDa OmniOut in der Regel auf authentifizierte Salesforce-APIs zur\u00fcckgreift, wird diese Kontoanforderung erf\u00fcllt, indem der OmniOut-Komponente ein Zugriffstoken f\u00fcr verbundene Apps bereitgestellt wird, das f\u00fcr Anfragen im Namen aller externen Benutzer verwendet wird\u201c, so Costello. \u201eObwohl dies in der Salesforce-Dokumentation, in der der Erstellungsprozess f\u00fcr verbundene Apps beschrieben wird, nicht ausdr\u00fccklich erw\u00e4hnt wird, ist es unerl\u00e4sslich, dass Unternehmen keinen Zugriffstoken f\u00fcr OmniOut generieren, der mit einem privilegierten Konto wie dem des Systemadministrators verkn\u00fcpft ist.\u201c<\/p>\n

Schlie\u00dflich verf\u00fcgen OmniScripts, die mehrere Backend-Operationen \u00fcber IProcs, Data Mappers und FlexCards miteinander verkn\u00fcpfen, \u00fcber eine Funktion namens \u201eSaved Session\u201c. Mit dieser k\u00f6nnen Benutzer ihren Fortschritt speichern und sp\u00e4ter zum Skript zur\u00fcckkehren. Werden solche Sitzungen generiert, wird im OmniScript Saved Session sObject ein Datensatz zusammen mit allen Daten erstellt, die vom Skript bis zum Speichern eingegeben oder zur\u00fcckgegeben wurden. Standardm\u00e4\u00dfig gibt es keine Ablaufzeit f\u00fcr diese gespeicherten Sitzungen.<\/p>\n

\u201eObwohl Gast- und\/oder Community-Site-Benutzer ihre eigenen Sitzungen nicht speichern k\u00f6nnen, werden sie nicht daran gehindert, die Daten anderer Benutzersitzungen zu lesen, wenn sie \u00fcber die entsprechenden Berechtigungen verf\u00fcgen, betont der AppOmni-Experte. Dieser Angriffsvektor stellt ein Risiko dar, das sowohl von internen als auch von externen Identit\u00e4ten ausgenutzt werden k\u00f6nnte.\u201c<\/p>\n

Abhilfema\u00dfnahmen<\/strong><\/h2>\n

F\u00fcr die unsicheren Konfigurationen, die Salesforce noch nicht behoben hat, gibt AppOmni in seinem Dokument Empfehlungen zur Risikominderung. Dazu z\u00e4hlt eine Liste von Objekten, deren Objekt-, Feld- und Freigaberegelkonfigurationen regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden sollten. Die Reduzierung der Zugriffsebene f\u00fcr OmniStudio sObjects und deren Datens\u00e4tze auf das Notwendigste sei die erste Verteidigungslinie, so das Unternehmen. (jm)<\/p>\n

Lesetipp: Hacker erbeuten Salesforce-Daten mit Vishing<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Die Salesforce Industry Cloud ist mit Konfigurationsrisiken behaftet. Sundry Photography \u2013 shutterstock.com Die vertikal ausgerichtete L\u00f6sungssuite Salesforce Industry Cloud umfasst eine Low-Code-Plattform, die vorgefertigte Tools f\u00fcr die digitale Transformation f\u00fcr bestimmte Branchen wie Finanzdienstleistungen und Fertigung bereitstellt. Forscher von AppOmni haben nun herausgefunden, dass Kunden ihre Komponenten leicht falsch konfigurieren k\u00f6nnen. Dadurch besteht die Gefahr, […]<\/p>\n","protected":false},"author":0,"featured_media":3576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3575","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3575"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3575"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3575\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3576"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3575"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3575"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3575"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}