为了进一步挖掘受害企业的机敏资讯,骇客可能会锁定客户关系管理系统(CRM)平台。一旦这类系统出现资安漏洞,就有可能成为骇客利用的标的。
最近有两组研究人员揭露与Salesforce有关的漏洞,其中又以Industry Clouds是Salesforce以Customer 360平台为基础建构的垂直整合解决方案,结合CRM与产业专属功能,让企业能以低程式码(Low-code)方式快速部署符合业务需求的应用程式。由于Industry Clouds广泛用于金融、医疗保健、制造、电信、公共服务等领域,因此这些配置不当的弱点,影响范围可能会相当广泛。
针对这次AppOmni找到的弱点,研究人员指出存在于FlexCards、Data Mappers、Integration Procedures、Data Packs、OmniOut,以及OmniScript Saved Sessions功能。其中被登记CVE编号的弱点,有4项出现于FlexCards,1项与Data Mappers有关,CVSS风险介于5.3至7.5分。