ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Salesforce предупредила об увеличении активности злоумышленников, которые стремятся воспользоваться ошибками в настройках общедоступных сайтов Experience Cloud, используя модифицированную версию инструмента с открытым исходным кодом под названием AuraInspector.

По данным компании, эта деятельность включает в себя использование чрезмерно разрешительных настроек гостевых пользователей Experience Cloud для получения доступа к конфиденциальным данным.

«Имеющиеся данные указывают на то, что злоумышленники используют модифицированную версию инструмента с открытым исходным кодом AuraInspector [...] для массового сканирования общедоступных сайтов Experience Cloud», — заявила Salesforce.

«В то время как исходный AuraInspector ограничивается выявлением уязвимых объектов путем зондирования конечных точек API, которые эти сайты раскрывают (в частности, конечной точки /s/sfsites/aura), злоумышленник разработал настраиваемую версию инструмента, способную выходить за рамки идентификации и фактически извлекать данные, используя чрезмерно разрешительные настройки гостевых пользователей».

AuraInspector — это инструмент с открытым исходным кодом, предназначенный для помощи командам безопасности в выявлении и аудите неверных настроек контроля доступа в рамках Salesforce Aura. Он был выпущен принадлежащей Google компанией Mandiant в январе 2026 года.

Общедоступные сайты Salesforce используют специальный профиль гостевого пользователя, который позволяет неавторизованному пользователю получать доступ к целевым страницам, часто задаваемым вопросам и статьям базы знаний. Однако, если этот профиль настроен неправильно с чрезмерными разрешениями, он может потенциально предоставить неавторизованным пользователям доступ к большему объему данных, чем предполагалось.

В результате злоумышленник может воспользоваться этой уязвимостью безопасности, чтобы напрямую запрашивать объекты Salesforce CRM без входа в систему. Для того чтобы эта атака сработала, клиенты Experience Cloud должны удовлетворять двум условиям: они используют профиль гостевого пользователя и не следуют рекомендациям Salesforce по настройке.

«На данный момент мы не выявили никаких уязвимостей, присущих платформе Salesforce и связанных с этой деятельностью», — заявила Salesforce. «Эти попытки сосредоточены на настройках конфигурации клиентов, которые, если они не защищены должным образом, могут увеличить уязвимость».

Компания приписала эту кампанию известной группе злоумышленников, не называя ее имени, что повышает вероятность того, что это может быть дело рук ShinyHunters (также известной как UNC6240), которая в прошлом уже атаковала среды Salesforce через сторонние приложения от Salesloft и Gainsight.

Salesforce рекомендует клиентам проверить настройки гостевых пользователей Experience Cloud, убедиться, что для всех объектов установлен параметр «Private» (Частный) в настройках «Default External Access» (Внешний доступ по умолчанию), отключить доступ гостевых пользователей к общедоступным API, ограничить настройки видимости, чтобы гостевые пользователи не могли перечислять членов внутренней организации, отключить саморегистрацию, если она не требуется, и отслеживать журналы на наличие необычных запросов.

«Деятельность этого злоумышленника отражает более широкую тенденцию «идентификационного» таргетинга», — добавила компания. «Данные, собранные в ходе этих сканирований, такие как имена и номера телефонов, часто используются для создания последующих целевых кампаний социальной инженерии и «вишинга» (голосового фишинга)».