Salesforce は、脅威キャンペーンが過度に寛容な Experience Cloud ゲスト設定を悪用して、パブリック ポータルからデータを収集していることを警告しています。
Salesforce は顧客に対して Experience Cloud の「ゲスト」設定を見直すよう呼びかけています。サイバー犯罪グループ ShinyHunters が、露出した Salesforce 環境に関連するデータ窃盗と恐喝に関連する新しいキャンペーンを主張しています。
このグループは最近、リーク サイトに、「数百」の組織(約 400 のウェブサイトとおよそ 100 の「著名な企業」を含む)の侵害を主張するスクリーンショットを投稿しました。この主張は、プラットフォーム自体の脆弱性ではなく、設定を誤ったパブリック ポータルを通じて Salesforce のデプロイメントを標的とした、より広いキャンペーンの最中に行われています。
新しいブログ投稿で、Salesforce は、攻撃者が Experience Cloud 環境で過度に寛容なゲスト ユーザー設定を悪用して、組織が公開することを決してなかったデータを収集していることを警告しました。「私たちのサイバーセキュリティ操作センター(CSOC)は、既知の脅威アクター グループによるキャンペーンを監視しています」と同社は、アクターを特定することなく述べました。「証拠は、脅威アクターが、オープンソース ツール Aura Inspector(元々 Mandiant によって開発)の修正版を利用して、パブリック ポータルの Experience Cloud サイトの大量スキャンを実行していることを示しています。」
Salesforce の警告の数時間後に投稿された ShinyHunters の投稿は、新しいキャンペーンを「Salesforce Aura キャンペーン」と呼びました。
この警告は、2025 年半ば以来、フィッシング、ソーシャル エンジニアリング、統合の悪用を通じて Salesforce インスタンスを標的にしてきた ShinyHunters に起因する以前のインシデントを背景に行われています。場合によっては、これらの攻撃により数百万件のレコードが侵害されました。
過度に寛容なゲスト アクセス
この警告は、組織が顧客、パートナー、およびコミュニティ向けのパブリック ポータルを構築するために使用する Salesforce Experience Cloud プラットフォームに関するものです。これらのサイトは、認証されていない訪問者が特定の情報を表示できるようにする共有「ゲスト ユーザー プロファイル」に依存しています。
正しく設定されると、そのプロファイルはサイトが機能するために必要な最小限のデータのみを公開します。ただし、権限が広すぎる場合、攻撃者はバックアップされた CRM オブジェクトを直接クエリでき、資格情報を必要とせずにデータを効果的に抽出できます。
Salesforce によると、脅威アクターは Mandiant のオープンソース AuraInspector ツールの修正版を使用してこのプロセスを自動化しており、Experience Cloud サイトが公開する「/s/sfsites/aura」API エンドポイントをプローブしています。攻撃者が改変した形式では、ツールは検出を超えて能動的にアクセス可能なデータを抽出します。
Sectigo のシニア フェロー Jason Soroko は、このアプローチを攻撃者にとって「最小抵抗の経路」と説明しました。彼は、高度なエクスプロイトを設計するのではなく、脅威アクターはますます設定ギャップを標的にしており、「単一の過度に寛容なゲスト設定により、尋ねた人誰もがデータにアクセスできる」と述べました。
アドバイザリーによると、キャンペーンは 3 つの条件が存在する環境を具体的に標的にしています。これらには、ゲスト プロファイルに過剰なオブジェクトまたはフィールド権限がある場合、外部ユーザーの組織全体のデフォルト アクセスがプライベートに設定されていない場合、およびゲスト ユーザーにパブリック API へのアクセスが許可されている場合が含まれます。これらの条件により、攻撃者は Experience Cloud ゲスト プロファイルを通じてデータをクエリできます。
Salesforce 環境がなぜ魅力的なターゲットになるのか
Salesforce のデプロイメントは、保持する機密データと、アクセス モデルの複雑さのために特に魅力的です。
「Salesforce インスタンスには、ラテラル ムーブメントに使用できる資格情報とシークレットを含む、非常に機密性の高い顧客データが含まれることがよくあります。」SlashID の CEO および共同創設者 Vincenzo lozzo は述べました。同時に、彼は、プラットフォームの階層化された権限アーキテクチャ(プロファイル、権限セット、共有ルール、統合を含む)は非常によく理解されておらず、偶発的な過剰露出を容易にしたと付け加えました。
組織が Salesforce をサードパーティ アプリケーションおよび API と接続すると、攻撃面がさらに拡大します。「信頼関係と、寿命の長い不十分に監視された資格情報は、システムとデータの宝庫へのアクセスを許可しています。」BugCrowd の最高戦略・信頼責任者 Trey Ford は述べました。攻撃者が信頼できる統合を侵害すると、彼は注記しました。これは、エコシステム全体にわたる連鎖的なリスクを生成する可能性があります。Salesforce のガイダンスは、責任ある設定制御の強化に焦点を当てています。推奨される手順には、ゲスト ユーザー権限の監査、可能な限りのパブリック API アクセスの無効化、オブジェクトの可視性の制限、最小権限アクセスの実施が含まれます。
