Salesforce ha apto sobre un aumento en la actividad de los actores de amenazas que tiene como objetivo explotar configuraciones erróneas en sitios de Experience Cloud de golpe sabido mediante el uso de una interpretación personalizada de una utensilio de código destapado indicación AuraInspector.
La actividad, según la empresa, implica la explotación de las configuraciones de usuarios invitados de Experience Cloud demasiado permisivas de los clientes para obtener golpe a datos confidenciales.
“La evidencia indica que el actor de amenazas está aprovechando una interpretación modificada de la utensilio de código destapado AuraInspector (…) para realizar escaneos masivos de sitios públicos de Experience Cloud”, dijo Salesforce.
“Si proporcionadamente el AuraInspector flamante se limita a identificar objetos vulnerables al sondear los puntos finales API que estos sitios exponen (específicamente el punto final /s/sfsites/aura), el actor ha desarrollado una interpretación personalizada de la utensilio capaz de ir más allá de la identificación para extraer datos, explotando configuraciones de legatario invitado demasiado permisivas”.
AuraInspector se refiere a una utensilio de código destapado diseñada para ayudar a los equipos de seguridad a identificar y auditar configuraciones incorrectas del control de golpe internamente del entorno de Salesforce Aura. Fue valiente por Mandiant, propiedad de Google, en enero de 2026.
Los sitios de Salesforce de golpe sabido utilizan un perfil de legatario invitado dedicado que permite a un legatario no autenticado alcanzar a páginas de destino, preguntas frecuentes y artículos de conocimiento. Sin requisa, si este perfil está mal configurado con permisos excesivos, potencialmente puede otorgar a usuarios no autenticados golpe a más datos de los previstos.
Como resultado, un atacante podría servirse esta afición de seguridad para consultar directamente objetos de Salesforce CRM sin iniciar sesión. Para que este ataque funcione, los clientes de Experience Cloud deben cumplir dos condiciones: están utilizando el perfil de legatario invitado y no han cumplido con la orientación de configuración recomendada de Salesforce.
“En este momento, no hemos identificado ninguna vulnerabilidad inherente a la plataforma Salesforce asociada con esta actividad”, dijo Salesforce. “Estos intentos se centran en las configuraciones del cliente que, si no se protegen adecuadamente, pueden aumentar la exposición”.
La compañía atribuyó la campaña a un conocido clase de actores de amenazas sin mencionar su nombre, lo que plantea la posibilidad de que pueda ser obra de ShinyHunters (además conocido como UNC6240), que tiene un historial de atacar entornos de Salesforce a través de aplicaciones de terceros de Salesloft y Gainsight.
Salesforce recomienda a los clientes revisar la configuración de sus usuarios invitados de Experience Cloud, cerciorarse de que el golpe forastero predeterminado para todos los objetos esté configurado en Privado, deshabilitar el golpe de los usuarios invitados a las API públicas, restringir la configuración de visibilidad para evitar que los usuarios invitados enumeren a los miembros internos de la estructura, deshabilitar el registro maquinal si no es necesario y monitorear los registros para consultas inusuales.
“Esta actividad de los actores de amenazas refleja una tendencia más amplia de ataques ‘basados en la identidad'”, añadió. “Los datos recopilados en estos escaneos, como nombres y números de teléfono, a menudo se utilizan para crear campañas de seguimiento de ingeniería social y ‘vishing’ (phishing de voz)”.
