Salesforce advirtió sobre una mayor actividad por parte de actores de amenazas que buscan explotar configuraciones erróneas en sitios de Experience Cloud de acceso público utilizando una versión personalizada de una herramienta de código abierto llamada AuraInspector.
Según la empresa, esta actividad implica explotar la configuración excesivamente permisiva de los usuarios invitados de Experience Cloud de los clientes para acceder a datos confidenciales.
«La evidencia indica que los atacantes están aprovechando una versión modificada de la herramienta de código abierto AuraInspector (…) para realizar escaneos masivos de sitios de Experience Cloud disponibles públicamente», dijo Salesforce.
«Si bien el AuraInspector original se limitaba a identificar objetos vulnerables mediante la inspección de los puntos finales API expuestos por estos sitios (específicamente el punto final /s/sfsites/aura), los atacantes desarrollaron una versión personalizada de la herramienta que podía ir más allá de la identificación y extraer datos explotando configuraciones de usuarios invitados demasiado permisivas».
AuraInspector se refiere a una herramienta de código abierto diseñada para ayudar a los equipos de seguridad a identificar y auditar configuraciones incorrectas del control de acceso dentro del marco de Salesforce Aura. Publicado por Mandiant, una empresa de Google, en enero de 2026.
Los sitios de Salesforce de acceso público utilizan un perfil de usuario invitado dedicado que permite a los usuarios no autenticados acceder a páginas de destino, preguntas frecuentes y artículos de conocimiento. Sin embargo, si este perfil está configurado incorrectamente con privilegios excesivos, puede permitir que usuarios no autenticados accedan a más datos de los previstos.
Como resultado, un atacante podría aprovechar esta debilidad de seguridad para consultar directamente objetos de Salesforce CRM sin iniciar sesión. Para que este ataque funcione, los clientes de Experience Cloud deben cumplir dos condiciones. Está utilizando un perfil de usuario invitado y no sigue la guía de configuración recomendada de Salesforce.
Salesforce dijo: «En este momento, no tenemos conocimiento de ninguna vulnerabilidad específica de la plataforma Salesforce asociada con esta actividad». «Estos intentos se centran en los ajustes de configuración del cliente, que pueden estar en riesgo si no se protegen adecuadamente».
La compañía atribuyó la campaña a un conocido grupo de actores de amenazas sin nombrarlos, lo que plantea la posibilidad de que fuera obra de ShinyHunters (también conocido como UNC6240), que tiene un historial de atacar entornos de Salesforce a través de aplicaciones de terceros Salesloft y Gainsight.
Salesforce recomienda que los clientes revisen la configuración de sus usuarios invitados de Experience Cloud, se aseguren de que el acceso externo predeterminado para todos los objetos esté configurado como privado, deshabiliten el acceso de los usuarios invitados a las API públicas, restrinjan la visibilidad para evitar que los usuarios invitados enumeren miembros internos de su organización, deshabiliten el registro automático cuando no sea necesario y supervisen los registros para detectar consultas inusuales.
«La actividad de este actor de amenazas refleja una tendencia más amplia de ataques ‘basados en la identidad'», añadió. «Los datos recopilados durante estos escaneos, como nombres y números de teléfono, a menudo se utilizan para crear campañas posteriores de ingeniería social dirigidas y ‘vishing’ (phishing de voz)».
Source link
