Salesforce ha advertido de un aumento de la actividad de los actores de amenazas, cuyo objetivo es aprovechar los errores de configuración en los sitios de Experience Cloud de acceso público mediante el uso de una versión personalizada de una herramienta de código abierto llamada AuraInspector.
La actividad, según la empresa, implica la explotación de los clientes configuraciones de usuario invitado de Experience Cloud demasiado permisivas para obtener acceso a datos confidenciales.
«La evidencia indica que el actor de la amenaza está aprovechando una versión modificada de la herramienta de código abierto AuraInspector [...] para realizar escaneos masivos de sitios públicos de Experience Cloud», dijo Salesforce dijo .
«Si bien el AuraInspector original se limitaba a identificar objetos vulnerables mediante el análisis de los puntos finales de la API que estos sitios exponen (específicamente el punto final /s/sfsites/aura), el actor ha desarrollado una versión personalizada de la herramienta capaz de ir más allá de la identificación y extraer datos, aprovechando la configuración demasiado permisiva de los usuarios invitados».
Inspector de aura se refiere a una herramienta de código abierto diseñada para ayudar a los equipos de seguridad a identificar y auditar los errores de configuración del control de acceso dentro del marco Aura de Salesforce. Fue lanzado por Mandiant, propiedad de Google, en enero de 2026.
adsenseLos sitios de Salesforce de acceso público utilizan un perfil de usuario invitado dedicado que permite a un usuario no autenticado acceder a las páginas de destino, las preguntas frecuentes y los artículos de conocimiento. Sin embargo, si este perfil está mal configurado con permisos excesivos, es posible que los usuarios no autenticados puedan acceder a más datos de los previstos.
Como resultado, un atacante podría aprovechar esta debilidad de seguridad para consultar directamente los objetos de Salesforce CRM sin iniciar sesión. Para que este ataque funcione, los clientes de Experience Cloud deben cumplir dos condiciones: que utilicen el perfil de usuario invitado y no hayan seguido las directrices de configuración recomendadas por Salesforce.
«En este momento, no hemos identificado ninguna vulnerabilidad inherente a la plataforma Salesforce asociada a esta actividad», dijo Salesforce dijo . «Estos intentos se centran en los ajustes de configuración del cliente que, si no se protegen adecuadamente, pueden aumentar la exposición».
La empresa atribuyó la campaña a un conocido grupo de actores de amenazas sin tomar su nombre, lo que planteó la posibilidad de que pudiera ser obra de ShinyHunters (también conocido como UNC6240), que tiene un historial de atacar entornos de Salesforce a través de aplicaciones de terceros de Loft de ventas y Gainsight .
Salesforce recomienda a los clientes que revisen la configuración de sus usuarios invitados de Experience Cloud, se aseguren de que el acceso externo predeterminado para todos los objetos esté configurado como privado, deshabiliten el acceso de los usuarios invitados a las API públicas, restrinjan la configuración de visibilidad para evitar que los usuarios invitados enumeren a los miembros internos de la organización, deshabiliten el registro automático si no es necesario y supervisen los registros para detectar consultas inusuales.
«Esta actividad de los actores de amenazas refleja una tendencia más amplia de ' basado en la identidad «segmentación», añadió. «Los datos que se recopilan en estos escaneos, como los nombres y los números de teléfono, se suelen utilizar para crear campañas de seguimiento específicas de ingeniería social y de «vishing» (suplantación de identidad por voz)».
Fuentes de Información: THEHACKERNEWS