위협 행위자들, 수정된 AuraInspector Tool을 통해 Salesforce Experience Cloud 대량 스캔

Source: The Hacker News

개요

Salesforce는 공개적으로 접근 가능한 Experience Cloud 사이트의 잘못된 구성을 악용하려는 위협 행위자 활동이 증가하고 있다고 경고했습니다. 이 행위자들은 오픈소스 도구 AuraInspector의 맞춤형 버전을 사용해 이러한 사이트를 대량 스캔하고 과도하게 허용된 게스트 사용자 구성에서 데이터를 추출하고 있습니다.

“증거에 따르면 위협 행위자는 오픈소스 도구 AuraInspector의 수정된 버전을 활용해 공개된 Experience Cloud 사이트를 대량 스캔하고 있다”고 Salesforce는 밝혔습니다.

원래 AuraInspector는 /s/sfsites/aura API 엔드포인트를 탐색해 취약한 객체를 식별하는 데에만 제한되어 있었지만, 수정된 도구는 식별을 넘어 실제 데이터를 추출하고, 허용적인 게스트 사용자 설정을 악용할 수 있습니다.

AuraInspector

AuraInspector는 Salesforce Aura 프레임워크 내 접근 제어 잘못된 구성을 식별하고 감사하도록 보안 팀을 돕기 위해 만든 오픈소스 감사 도구입니다. 2026년 1월 Google 소유의 Mandiant에 의해 공개되었습니다.

Experience Cloud에 미치는 영향

공개적으로 접근 가능한 Salesforce 사이트는 인증되지 않은 사용자가 랜딩 페이지, FAQ, 지식 기사 등을 볼 수 있도록 하는 전용 게스트 사용자 프로파일을 사용합니다. 이 프로파일이 과도한 권한으로 잘못 구성될 경우, 인증되지 않은 사용자는 Salesforce CRM 객체를 직접 조회하는 등 추가 데이터를 얻을 수 있습니다.

공격이 성공하려면 Experience Cloud 고객은 다음 조건을 만족해야 합니다:

1. 게스트 사용자 프로파일을 사용하고 있어야 함.
2. Salesforce가 권장하는 구성 가이드(예: 기본 외부 접근을 Private으로 설정)를 적용하지 않았음.

Salesforce는 플랫폼 자체에 내재된 취약점이 발견된 것이 아니며, 시도는 고객의 보안 설정이 부실한 점에 초점을 맞추고 있다고 설명했습니다.

위협 행위자 귀속

Salesforce는 이 캠페인을 알려진 위협 행위자 그룹에 귀속시켰지만, 이름은 공개하지 않았습니다. 이 활동은 이전에 Salesloft와 Gainsight와 같은 서드파티 애플리케이션을 통해 Salesforce 환경을 표적으로 삼았던 ShinyHunters(또는 UNC‑6240)와 연관될 가능성이 있습니다.

권고 사항

Salesforce는 고객에게 다음을 권고합니다:

• Experience Cloud 게스트 사용자 설정을 검토할 것.
• 모든 객체에 대한 Default External Access를 Private으로 설정할 것.
• 공개 API에 대한 게스트 사용자 접근을 비활성화할 것.
• 내부 조직 구성원 열거를 방지하도록 가시성 설정을 제한할 것.
• 필요하지 않은 경우 자체 등록(self‑registration)을 비활성화할 것.
• 비정상적인 쿼리 여부를 로그에서 모니터링할 것.

“이 위협 행위자 활동은 ‘신원 기반’ 표적화라는 더 넓은 추세를 반영한다. 이러한 스캔을 통해 수집된 이름, 전화번호와 같은 데이터는 후속 사회공학 및 ‘vishing’(음성 피싱) 캠페인을 구축하는 데 자주 사용된다”고 Salesforce는 덧붙였습니다.