Хакери използват уязвимости в настройки за гост потребители

Salesforce предупреди своите клиенти за нарастващ брой атаки срещу Experience Cloud сайтове, при които гост потребители получават повече достъп до данни, отколкото е предвидено.

Специално внимание е насочено към /s/sfsites/aura API на погрешно конфигурирани инстанции, където хакерите могат да извършват масово сканиране и кражба на данни.

В случая активно се споменава групата за изнудване ShinyHunters, която твърди, че експлоатира нов бъг за извличане на данни.

Как става атаката

• Хакерите използват модифицирана версия на AuraInspector, инструмент с отворен код на Mandiant, предназначен за идентифициране на грешки в контрола на достъпа в Salesforce Aura.

• Публично достъпните Salesforce Experience сайтове позволяват гост профил на потребител, който предоставя на анонимни посетители достъп до данни, предвидени за публично споделяне.

• При погрешна конфигурация гостите могат да заявяват Salesforce CRM обекти без да се логват.

Salesforce подчертава, че това не е уязвимост на платформата, а проблем с конфигурацията на клиента.

Препоръки за защита на клиентите

Salesforce съветва организации да следват принципа на най-малките привилегии и да ограничат достъпа на гост потребители:

1. Oдит на разрешенията за гост потребители – редуцирайте до минимум необходимите привилегии.

2. Настройка на org-wide defaults на Private за външен достъп.

3. Изключване на Portal User Visibility и Site User Visibility – гостите не трябва да виждат вътрешни потребители.

4. Деактивиране на саморегистрация, освен ако е абсолютно необходимо, за да се предотврати разширяване на достъпа.

5. Преглед на Aura Event Monitoring логове за необичайни заявки, IP адреси или опити за достъп до обекти, които не би трябвало да са публични.

6. Назначаване на Security Contact, за да се уведомява бързо от Salesforce при потенциални инциденти.

Най-значимата мярка е изключване на достъпа на гости до публични API и премахване на настройката API Enabled от гост профила.

Действията на ShinyHunters

• Групата твърди, че е компрометирала около 100 високопрофилни компании, като общият брой на засегнатите организации е между 300 и 400.

• Атаките започват от септември 2025 г., като целят Experience Cloud инстанции с неправилни настройки за гост потребители.

• Ограничението на Salesforce за 2,000 записи на заявка е заобиколено чрез параметъра sortBy, който позволявал по-бързо извличане на данни.

• ShinyHunters са създали собствен инструмент за кражба на данни, който използва потребителски агент, имитиращ браузър:
  Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Chrome/120.0.0.0 Safari/537.36

• Хакерите твърдят, че изключването на „Public Access“ би защитило клиентите, но това би направило сайта частен портал, премахвайки гост достъпа.

Сътрудничество с Mandiant и Salesforce

• Mandiant потвърждава, че хакерите използват модифицирана версия на AuraInspector за масово сканиране.

• Активността на сканиране в логовете не означава автоматично компрометиране, но е сигнал за повишено внимание.

• Salesforce работи със своите клиенти за предоставяне на телеметрия и правила за откриване на потенциални атаки.

Атаките срещу Salesforce Experience Cloud показват колко важно е правилното конфигуриране на гост потребителите и стриктното управление на достъп до публични API.

Организациите трябва да следват препоръките на Salesforce, да извършват редовни одити на разрешенията и да прилагат принципа на най-малките привилегии, за да предотвратят потенциални пробиви и масова кражба на данни.