Salesforce đã cảnh báo về sự gia tăng hoạt động của các tác nhân đe dọa nhằm khai thác các cấu hình sai trong các trang web Experience Cloud có thể truy cập công khai bằng cách sử dụng phiên bản tùy chỉnh của một công cụ mã nguồn mở có tên AuraInspector.
Hoạt động này, theo công ty, liên quan đến việc khai thác các cấu hình guest user của Experience Cloud quá rộng rãi của khách hàng để có được quyền truy cập vào dữ liệu nhạy cảm.
"Bằng chứng cho thấy tác nhân đe dọa đang lợi dụng một phiên bản sửa đổi của công cụ mã nguồn mở AuraInspector [...] để thực hiện quét hàng loạt các trang web Experience Cloud công khai," Salesforce cho biết.
"Trong khi AuraInspector gốc chỉ giới hạn trong việc xác định các đối tượng dễ bị tổn thương bằng cách thăm dò các API endpoint mà các trang web này tiếp xúc (cụ thể là API endpoint /s/sfsites/aura), thì tác nhân này đã phát triển một phiên bản tùy chỉnh của công cụ có khả năng không chỉ dừng lại ở việc xác định mà còn thực sự trích xuất dữ liệu — khai thác các cài đặt guest user quá rộng rãi."
AuraInspector là một công cụ mã nguồn mở được thiết kế để giúp các nhóm bảo mật xác định và kiểm tra các cấu hình sai kiểm soát truy cập trong framework Salesforce Aura. Nó được Mandiant, thuộc sở hữu của Google, phát hành vào tháng 1 năm 2026.
Các trang web Salesforce có thể truy cập công khai sử dụng một hồ sơ guest user chuyên dụng cho phép người dùng chưa được xác thực truy cập các trang đích, Câu hỏi thường gặp (FAQs) và các bài viết kiến thức. Tuy nhiên, nếu hồ sơ này bị cấu hình sai với các quyền quá mức, nó có thể cấp cho người dùng chưa được xác thực quyền truy cập nhiều dữ liệu hơn dự định.
Kết quả là, kẻ tấn công có thể exploit lỗ hổng bảo mật này để trực tiếp truy vấn các đối tượng Salesforce CRM mà không cần đăng nhập. Để cuộc tấn công này hoạt động, hai điều kiện phải được khách hàng Experience Cloud thỏa mãn: họ đang sử dụng hồ sơ guest user và chưa tuân thủ hướng dẫn cấu hình được Salesforce khuyến nghị.
"Hiện tại, chúng tôi chưa xác định bất kỳ vulnerability nào cố hữu của nền tảng Salesforce liên quan đến hoạt động này," Salesforce cho biết. "Những nỗ lực này tập trung vào các cài đặt cấu hình của khách hàng mà, nếu không được bảo mật đúng cách, có thể làm tăng khả năng bị lộ."
Công ty đã quy chiến dịch này cho một nhóm tác nhân đe dọa được biết đến mà không nêu tên, làm tăng khả năng đó có thể là công việc của ShinyHunters (hay còn gọi là UNC6240), nhóm này có lịch sử nhắm mục tiêu vào các môi trường Salesforce thông qua các ứng dụng của bên thứ ba từ Salesloft và Gainsight.
Khuyến nghị bảo mật từ Salesforce
Salesforce đang khuyến nghị khách hàng xem xét các cài đặt guest user của Experience Cloud của họ, đảm bảo Default External Access cho tất cả các đối tượng được đặt thành Private, vô hiệu hóa quyền truy cập API công khai của guest user, hạn chế cài đặt hiển thị để ngăn guest user liệt kê các thành viên nội bộ của tổ chức, vô hiệu hóa tự đăng ký nếu không cần thiết và giám sát logs để phát hiện các truy vấn bất thường.
"Hoạt động của tác nhân đe dọa này phản ánh một xu hướng rộng hơn về việc nhắm mục tiêu 'dựa trên danh tính'," công ty cho biết thêm. "Dữ liệu thu thập được trong các cuộc quét này, chẳng hạn như tên và số điện thoại – thường được sử dụng để xây dựng các chiến dịch social engineering và 'vishing' (lừa đảo qua giọng nói) có mục tiêu tiếp theo."
