-
09/04/2020
-
99
-
847 bài viết
Hàng triệu người dùng toàn cầu có thể bị ảnh hưởng bởi lỗ hổng zero-day trong Salesforce
Một lỗ hổng nghiêm trọng dạng zero-day vừa được phát hiện trong controller mặc định của Salesforce, nền tảng quản lý khách hàng (CRM) phổ biến toàn cầu. Lỗi này cho phép tin tặc khai thác kỹ thuật SOQL Injection để truy xuất dữ liệu người dùng và tài liệu quan trọng từ hệ thống.
Lỗ hổng nằm trong controller mặc định aura://CsvDataImportResourceFamilyController/ACTION$getCsvAutoMap - một phần của hệ thống Aura Framework thuộc Salesforce.
Qua quá trình kiểm thử tự động (automated fuzzing), nhà nghiên cứu phát hiện rằng tham số contentDocumentId được nhúng trực tiếp vào truy vấn SOQL mà không qua xử lý kiểm tra đầu vào.
Một thông báo lỗi không mong đợi xuất hiện:
Điều này cho thấy có thể thực hiện chèn truy vấn độc hại (SOQL Injection), tương tự như kỹ thuật SQL Injection truyền thống nhưng trong môi trường Salesforce.
Ví dụ payload khai thác:
Dựa vào phản hồi từ máy chủ (thành công hoặc lỗi khác nhau), kẻ tấn công có thể dần dần dò được thông tin người dùng, email, tên tài liệu, mô tả,... từ cả tài liệu công khai và riêng tư.
Thậm chí, tin tặc còn sử dụng kỹ thuật sinh ID Salesforce hợp lệ để tạo ra hàng ngàn mã ContentDocumentId có tiền tố "069", từ đó mở rộng quy mô tấn công.
Điều đáng lo là controller bị lỗi được cài sẵn trong mọi hệ thống Salesforce mặc định, không phải do người dùng tự viết. Vì vậy, rất nhiều tổ chức trên toàn cầu có thể đã bị ảnh hưởng mà không hề hay biết.
Việc vá lỗi âm thầm tuy xử lý nguy cơ trước mắt, nhưng lại không cung cấp hướng dẫn phát hiện dấu hiệu bị tấn công, cũng như không hỗ trợ cộng đồng bảo mật đánh giá thiệt hại có thể đã xảy ra trước thời điểm vá.
Lỗ hổng nằm trong controller mặc định aura://CsvDataImportResourceFamilyController/ACTION$getCsvAutoMap - một phần của hệ thống Aura Framework thuộc Salesforce.
Qua quá trình kiểm thử tự động (automated fuzzing), nhà nghiên cứu phát hiện rằng tham số contentDocumentId được nhúng trực tiếp vào truy vấn SOQL mà không qua xử lý kiểm tra đầu vào.
Một thông báo lỗi không mong đợi xuất hiện:
Điều này cho thấy có thể thực hiện chèn truy vấn độc hại (SOQL Injection), tương tự như kỹ thuật SQL Injection truyền thống nhưng trong môi trường Salesforce.
Cách khai thác và mức độ nguy hiểm
Dù SOQL có giới hạn nhất định so với SQL, nhà nghiên cứu vẫn phát triển kỹ thuật blind injection để truy xuất dữ liệu nhạy cảm.Ví dụ payload khai thác:
Dựa vào phản hồi từ máy chủ (thành công hoặc lỗi khác nhau), kẻ tấn công có thể dần dần dò được thông tin người dùng, email, tên tài liệu, mô tả,... từ cả tài liệu công khai và riêng tư.
Thậm chí, tin tặc còn sử dụng kỹ thuật sinh ID Salesforce hợp lệ để tạo ra hàng ngàn mã ContentDocumentId có tiền tố "069", từ đó mở rộng quy mô tấn công.
Salesforce đã vá lỗi
Sau khi lỗ hổng được báo cáo vào cuối tháng 2/2025, Salesforce đã âm thầm vá lỗi mà không công bố CVE, không thông báo chính thức, cũng không ghi chú trong bản phát hành.Điều đáng lo là controller bị lỗi được cài sẵn trong mọi hệ thống Salesforce mặc định, không phải do người dùng tự viết. Vì vậy, rất nhiều tổ chức trên toàn cầu có thể đã bị ảnh hưởng mà không hề hay biết.
Việc vá lỗi âm thầm tuy xử lý nguy cơ trước mắt, nhưng lại không cung cấp hướng dẫn phát hiện dấu hiệu bị tấn công, cũng như không hỗ trợ cộng đồng bảo mật đánh giá thiệt hại có thể đã xảy ra trước thời điểm vá.
Khuyến cáo dành cho doanh nghiệp sử dụng Salesforce
- Kiểm tra kỹ log và truy vấn liên quan đến ContentDocumentId trong khoảng thời gian từ trước tháng 3/2025.
- Theo dõi các phản hồi bất thường từ các truy vấn SOQL, đặc biệt nếu hệ thống có tích hợp báo cáo tự động hoặc nhập liệu CSV.
- Hạn chế quyền truy cập controller Aura cho các user không cần thiết, nhất là trong môi trường production.
- Chủ động liên hệ Salesforce để xác minh trạng thái cập nhật hệ thống, nhất là nếu doanh nghiệp sử dụng bản triển khai riêng hoặc tùy chỉnh.
Theo Cyber Security News
Chỉnh sửa lần cuối: