威胁行为者通过修改的 AuraInspector 工具对 Salesforce Experience Cloud 进行大规模扫描

Source: The Hacker News

Overview

Salesforce 警告称，针对公开可访问的 Experience Cloud 站点的错误配置，威胁行为者的活动正在增加。攻击者使用了 AuraInspector 开源工具的定制版本，对这些站点进行大规模扫描，并从权限过宽的访客用户配置中提取数据。

“证据表明，威胁行为者正在利用经过修改的开源工具 AuraInspector … 对面向公众的 Experience Cloud 站点进行大规模扫描，” Salesforce 表示。

原始的 AuraInspector 只能通过探测 /s/sfsites/aura API 端点来识别易受攻击的对象，而修改后的工具则能够超越识别阶段，实际提取数据，利用宽松的访客用户设置。

AuraInspector

AuraInspector 是一款开源审计工具，旨在帮助安全团队识别并审计 Salesforce Aura 框架内的访问控制错误配置。该工具由 Google 旗下的 Mandiant 于 2026 年 1 月发布。

Impact on Experience Cloud

公开可访问的 Salesforce 站点使用专用的访客用户配置文件，允许未认证用户查看登录页面、常见问题解答和知识文章。如果该配置文件因权限过多而配置错误，未认证用户即可获取额外数据，包括直接查询 Salesforce CRM 对象的能力。

要使攻击成功，Experience Cloud 客户必须满足以下条件：

1. 使用访客用户配置文件。
2. 未按照 Salesforce 的推荐配置指南进行设置（例如，默认外部访问权限未设为 Private）。

Salesforce 澄清称，未发现平台本身存在固有漏洞；攻击重点在于客户的不安全配置设置。

Threat Actor Attribution

Salesforce 将此次活动归因于已知的威胁行为者组织，但未披露名称。该活动可能与 ShinyHunters（亦称 UNC‑6240）有关，该组织此前曾通过第三方应用程序（如 Salesloft 和 Gainsight）针对 Salesforce 环境。

Recommendations

Salesforce 建议客户采取以下措施：

• 审查 Experience Cloud 访客用户设置。
• 确保所有对象的 Default External Access 均设置为 Private。
• 禁用访客用户对公共 API 的访问。
• 限制可见性设置，以防止枚举内部组织成员。
• 如非必需，禁用自助注册。
• 监控日志，留意异常查询。

“此类威胁行为者活动反映了‘基于身份’的攻击趋势。通过这些扫描收集的数据——如姓名和电话号码——常被用于构建后续的定向社交工程和‘vishing’（语音钓鱼）攻击，” Salesforce 补充道。