Salesforce heeft gewaarschuwd voor een toename van de activiteit van bedreigingsactoren die gericht zijn op het misbruiken van verkeerde configuraties op openbaar toegankelijke Experience Cloud-sites door gebruik te maken van een aangepaste versie van een open-sourcetool genaamd AuraInspector.
De activiteit omvat volgens het bedrijf de exploitatie van de al te tolerante Experience Cloud-gastgebruikersconfiguraties van klanten om toegang te krijgen tot gevoelige gegevens.
“Er zijn aanwijzingen dat de bedreigingsacteur een aangepaste versie van de open source-tool AuraInspector (…) gebruikt om massale scans uit te voeren op openbare Experience Cloud-sites”, aldus Salesforce.
“Hoewel de oorspronkelijke AuraInspector zich beperkt tot het identificeren van kwetsbare objecten door het onderzoeken van API-eindpunten die deze sites blootleggen (met name het /s/sfsites/aura-eindpunt), heeft de acteur een aangepaste versie van de tool ontwikkeld die verder kan gaan dan identificatie om daadwerkelijk gegevens te extraheren – waarbij gebruik wordt gemaakt van al te tolerante gastgebruikersinstellingen.”
AuraInspector verwijst naar een open-sourcetool die is ontworpen om beveiligingsteams te helpen misconfiguraties van toegangscontrole binnen het Salesforce Aura-framework te identificeren en te controleren. Het werd in januari 2026 uitgebracht door Mandiant, eigendom van Google.
Openbaar toegankelijke Salesforce-sites gebruiken een speciaal gastgebruikersprofiel waarmee een niet-geverifieerde gebruiker toegang krijgt tot landingspagina’s, veelgestelde vragen en kennisartikelen. Als dit profiel echter verkeerd is geconfigureerd met overmatige machtigingen, kan het mogelijk niet-geverifieerde gebruikers toegang geven tot meer gegevens dan bedoeld.
Als gevolg hiervan zou een aanvaller deze beveiligingszwakte kunnen misbruiken om rechtstreeks Salesforce CRM-objecten te bevragen zonder in te loggen. Om deze aanval te laten werken, moeten Experience Cloud-klanten aan twee voorwaarden voldoen: ze gebruiken het gastgebruikersprofiel en hebben zich niet gehouden aan de door Salesforce aanbevolen configuratierichtlijnen.
“Op dit moment hebben we geen enkele kwetsbaarheid geïdentificeerd die inherent is aan het Salesforce-platform en die verband houdt met deze activiteit”, aldus Salesforce. “Deze pogingen zijn gericht op klantconfiguratie-instellingen die, als ze niet goed beveiligd zijn, de blootstelling kunnen vergroten.”
Het bedrijf schreef de campagne toe aan een bekende groep bedreigingsactoren zonder de naam ervan te noemen, waardoor de mogelijkheid ontstond dat dit het werk zou kunnen zijn van ShinyHunters (ook bekend als UNC6240), die een geschiedenis heeft van het targeten van Salesforce-omgevingen via applicaties van derden van Salesloft en Gainsight.
Salesforce raadt klanten aan de instellingen van hun Experience Cloud-gastgebruikers te herzien, ervoor te zorgen dat de standaard externe toegang voor alle objecten is ingesteld op Privé, de toegang van gastgebruikers tot openbare API’s uit te schakelen, de zichtbaarheidsinstellingen te beperken om te voorkomen dat gastgebruikers interne organisatieleden opsommen, zelfregistratie uit te schakelen als dit niet nodig is, en logboeken te controleren op ongebruikelijke zoekopdrachten.
“Deze activiteit van bedreigingsactoren weerspiegelt een bredere trend van ‘op identiteit gebaseerde’ targeting”, voegde het eraan toe. “De gegevens die in deze scans worden verzameld, zoals namen en telefoonnummers, worden vaak gebruikt om vervolggerichte social engineering- en ‘vishing’-campagnes (voice phishing) op te zetten.”
