Salesforce ha advertit d’un augment de l’activitat dels actors d’amenaça que té com a objectiu explotar configuracions errònies en llocs d’Experience Cloud d’accés públic mitjançant una versió personalitzada d’una eina de codi obert anomenada AuraInspector.

L’activitat, segons l’empresa, implica l’explotació de les Configuracions d’usuari convidat d’Experience Cloud massa permissives dels clients per obtenir accés a dades delicades.

Salesforce ha confirmat que «Les proves indiquen que l’actor de l’amenaça està aprofitant una versió modificada de l’eina de codi obert AuraInspector […] per dur a terme una exploració massiva de llocs web d’Experience Cloud oberts al públic.»

“Tot i que l’AuraInspector original es limita a identificar objectes vulnerables mitjançant la sonda dels punts finals de l’API que aquests mateixos llocs exposen (específicament el punt final /s/sfsites/aura), l’actor ha desenvolupat una versió personalitzada de l’eina capaç d’anar més enllà de la identificació per extreure realment dades en aprofitar-se de la configuració d’usuari convidat massa permissiva.»

AuraInspector fa referència a una eina de codi obert dissenyada per ajudar els equips de seguretat a identificar i auditar els errors de configuració del control d’accés dins del marc de treball Salesforce Aura. Aquesta eina va ser llançada per Mandiant, propietat de Google, el gener de 2026.

Els llocs de Salesforce d’accés públic utilitzen un perfil d’usuari convidat dedicat que permet a un usuari no autenticat accedir a pàgines de destinació, preguntes freqüents i articles de coneixement. Tanmateix, si aquest perfil està mal configurat amb permisos excessius, pot permetre que els usuaris no autenticats tinguin accés a més dades de les previstes.

A conseqüència d’això un atacant podria explotar aquesta debilitat de seguretat per consultar directament objectes de Salesforce CRM sense iniciar sessió. Perquè aquest atac funcioni, els clients d’Experience Cloud han de complir dues condicions: que facin servir el perfil d’usuari convidat i que no han seguit les pautes de configuració recomanades per Salesforce.

Salesforce també va informar que «En aquest moment, no hem identificat cap vulnerabilitat inherent a la plataforma Salesforce associada amb aquesta activitat. Aquests intents se centren en els paràmetres de configuració del client que, si no es protegeixen correctament, poden augmentar-ne l’exposició.»

L’empresa va atribuir la campanya a un grup d’actors d’amenaces conegut sense divulgar-ne el nom, cosa que planteja la possibilitat que pugui ser obra de ShinyHunters (també conegut com a UNC6240), que té un historial d’atacar entorns de Salesforce a través d’aplicacions de tercers de Salesloft i Gainsight.

Salesforce recomana als clients que revisin la configuració d’usuari convidat d’Experience Cloud, que s’assegurin que l’accés extern per defecte per a tots els objectes estigui definit com a privat, que desactivin l’accés dels usuaris convidats a les API públiques, que restringeixin la configuració de visibilitat per evitar que els usuaris convidats enumerin els membres interns de l’organització, que desactivin l’autoregistre si no cal i que supervisin els registres per detectar consultes inusuals.

També va afegir que «Aquesta activitat d’actors d’amenaça reflecteix una tendència més àmplia d’atac basat en la identitat. Les dades recollides en aquests escanejos, com ara noms i números de telèfon, sovint s’utilitzen per crear campanyes d’enginyeria social i vishing (suplantació de veu) que es durien a terme posteriorment.»

Actualització

Segons les captures de pantalla compartides per Dark Web Informer a X, ShinyHunters ha afirmat haver accedit a «diversos centenars» d’empreses com a part de la campanya Salesforce Aura.

«Som conscients d’un actor d’amenaces que intenta identificar configuracions incorrectes dins de les instàncies de Salesforce Experience Cloud», va dir Charles Carmakal, CTO de Mandiant Consulting a Google Cloud, a The Hacker News. «Estem treballant estretament amb Salesforce i els nostres clients per proporcionar les regles de telemetria i detecció necessàries per mitigar e