TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Elastica ผู้ให้บริการโซลูชันความปลอดภัยสำหรับ CASB และ Cloud Application ได้ออกมาเปิดเผยช่องโหว่ความรุนแรงสูงบน Salesforce ซึ่งช่วยให้แฮ็คเกอร์สามารถส่งสคริปต์เข้าไปเพื่อทำการโจมตีแบบ Phishing ส่งผลให้ผู้ใช้งาน Saleforces อาจถูกขโมยข้อมูลล็อกอิน หรือถูกไฮแจ็คชื่อบัญชีได้ อย่างไรก็ตาม ทาง Salesforce ได้ทำการแพทช์เพื่ออุดช่องโหว่ดังกล่าวเรียบร้อยตั้งแต่วันที่ 10 สิงหาคมที่ผ่านมา
พบช่องโหว่บน Subdomain ของ Salesforce
ทีมนักวิจัยจาก Elastica ระบุว่า พบช่องโหว่ Reflected Cross-site Scripting (XSS) บน admin.salesforce.com ซึ่งเป็นโดเมนย่อยของ Salesforce ที่ใช้บริหารจัดการ Blog ช่องโหว่ดังกล่าวช่วยให้แฮ็คเกอร์สามารถส่งโค้ด JavaScript เข้าไปยังเครื่องเซิฟเวอร์ได้ ผลลัพธ์ที่ตามมา คือ แฮ็คเกอร์สามารถสร้างหน้าเพจ Phishing เพื่อขโมยข้อมูลล็อกอินของผู้ใช้ภายใต้ชื่อโดเมนย่อยของ Salesforce
Phishing ภายใต้ชื่อของ Salesforce ยากต่อการตรวจจับ
เนื่องจากช่องโหว่นี้เกิดขึ้นภายใต้โดเมนย่อยของ Salesforce ทำให้ Phishing Email ที่ถูกส่งออกมา แนบ URL โดยใช้ชื่อ salesforce.com ด้วยเช่นกัน ส่งผลให้อีเมลล์ดังกล่าวยากต่อการตรวจจับโดย Spam Filter หรือโปรแกรม Anti-Phishing ต่างๆ รวมทั้งผู้ใช้งานเองก็มีแนวโน้มว่าจะตกเป็นเหยื่อ กดลิงค์ URL เข้าไปได้โดยง่าย เมื่อเหยื่อหลงเข้ามายังเพจ Phishing แล้ว ก็เป็นเรื่องง่ายที่แฮ็คเกอร์จะสามารถหลอกขโมยชื่อผู้ใช้ และรหัสผ่านของเหยื่อผ่านทางการทำ Social Engineering
เสี่ยงต่อการถูกขโมยรหัสผ่านและไฮแจ็คชื่อบัญชี
นอกจากสามารถหลอกผู้ใช้งานผ่านทางการโจมตีแบบ Phishing เพื่อขโมยข้อมูลล็อกอินได้อย่างแนบเนียนแล้ว แฮ็คเกอร์ยังสามารถสั่งให้รัน JavaScript เพื่อขโมย Cookies และ Session Identifiers ได้อีกด้วย ผลลัพธ์ที่ตามมา คือ แฮ็คเกอร์สามารถไฮแจ็คชื่อบัญชีของเหยื่อได้อย่างไม่ยากนัก
ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่า ช่องโหว่ XSS นี้ควรถูกจัดเป็นช่องโหว่อันตราย เนื่องจาก Salesforce ใช้ระบบ Single Sign On (SSO) ซึ่งช่วยให้ผู้ใช้ Salesfroce สามารถเข้าถึงแอพพลิเคชันต่างๆได้อย่างสะดวกและรวดเร็ว ส่งผลให้เมื่อแฮ็คเกอร์สามารถขโมยข้อมูลล็อกอินหรือไฮแจ็คชื่อบัญชีของผู้ใช้ได้แล้ว ก็จะสามารถเข้าถึงแอพพลิเคชันและเซอร์วิสต่างๆบน Salesforce ได้ทั้งหมดทันที
ทำการแพทช์ช่องโหว่เป็นที่เรียบร้อย
Salesforce ได้รับทราบถึงช่องโหว่นี้ แต่จัดระดับเป็นช่องโหว่ความรุนแรงต่ำ เนื่องจากไม่ได้กระทบต่อเว็บไซต์หลักโดยตรง อย่างไรก็ตาม ทาง Salesforce ได้ออกแพทช์เพื่ออุดช่องโหว่ดังกล่าวเป็นที่เรียบร้อยตั้งแต่วันที่ 10 สิงหาคมที่ผ่านมา
ที่มา: http://www.securityweek.com/flaw-salesforce-subdomain-enabled-phishing-attacks
