Η Salesforce προειδοποιεί τους πελάτες ότι οι χάκερ στοχεύουν ιστοτόπους με εσφαλμένες διαμορφωμένες πλατφόρμες Experience Cloud που δίνουν στους επισκέπτες πρόσβαση σε περισσότερα δεδομένα από τα προβλεπόμενα. Ωστόσο, η συμμορία εκβιαστών ShinyHunters ισχυρίζεται ότι εκμεταλλεύεται ενεργά ένα νέο σφάλμα για να κλέψει δεδομένα από περιπτώσεις.
Η Salesforce μοιράστηκε οδηγίες για τους πελάτες της για να αμυνθούν από τους χάκερ που στοχεύουν ενεργά τους /s/sfsites/aura Τελικό σημείο API σε παρουσίες του Experience Cloud που δεν έχουν διαμορφωθεί σωστά, το οποίο παρέχει στους επισκέπτες πρόσβαση σε περισσότερα δεδομένα από τα προβλεπόμενα.
Η εταιρεία δηλώνει ότι οι εισβολείς αναπτύσσουν μια τροποποιημένη έκδοση του AuraInspector, ενός εργαλείου ελέγχου ανοιχτού κώδικα που αναπτύχθηκε από τη Mandiantτο οποίο μπορεί να βοηθήσει τους διαχειριστές να εντοπίσουν εσφαλμένες διαμορφώσεις ελέγχου πρόσβασης στο πλαίσιο Salesforce Aura.
“Είναι σημαντικό να σημειωθεί ότι το Salesforce παραμένει ασφαλές και αυτό το ζήτημα δεν οφείλεται σε κάποια ευπάθεια που είναι εγγενής στην πλατφόρμα μας. Η έρευνά μας μέχρι σήμερα επιβεβαιώνει ότι αυτή η δραστηριότητα σχετίζεται με μια ρύθμιση επισκέπτη χρήστη που έχει διαμορφωθεί από τον πελάτη και όχι με ένα ελάττωμα ασφάλειας πλατφόρμας”, λέει η Salesforce στο συμβουλευτικός.
Η εταιρεία εξηγεί ότι ένας δημοσίως εκτεθειμένος ιστότοπος Salesforce Experience δέχεται ένα “προφίλ χρήστη επισκέπτη” για να παρέχει σε ανώνυμους, μη πιστοποιημένους επισκέπτες πρόσβαση σε δεδομένα που προορίζονται να είναι δημόσια. Εάν το προφίλ δεν έχει διαμορφωθεί σωστά και έχει υπερβολικά δικαιώματα, οι επισκέπτες μπορούν “να ρωτήσουν απευθείας τα αντικείμενα Salesforce CRM χωρίς να συνδεθούν.”
Η Salesforce λέει ότι ένας οργανισμός μπορεί να βελτιώσει την άμυνά του έναντι τέτοιων επιθέσεων ελέγχοντας τις άδειες επισκεπτών χρηστών και υιοθετώντας την αρχή της ελάχιστο προνόμιο.
Ο προμηθευτής λέει ότι η αλλαγή με τον μεγαλύτερο αντίκτυπο που μπορούν να κάνουν οι πελάτες για να μετριάσουν τον κίνδυνο είναι να απενεργοποιήσουν την πρόσβαση επισκέπτη στα δημόσια API και να καταργήσουν τη ρύθμιση Ενεργοποιημένο API από το προφίλ επισκέπτη.
Η εταιρεία συνιστά στους πελάτες να λάβουν τις ακόλουθες άμεσες ενέργειες:
- Ελέγξτε τα δικαιώματα επισκέπτη χρήστη και μειώστε τα στο ελάχιστο που απαιτείται.
- Ορίστε τις προεπιλογές σε όλο τον οργανισμό σε Ιδιωτικό για εξωτερική πρόσβαση.
- Απενεργοποιήστε την ορατότητα χρήστη της πύλης και την ορατότητα χρήστη του ιστότοπου, ώστε οι επισκέπτες να μην μπορούν να απαριθμήσουν εσωτερικούς χρήστες.
- Απενεργοποιήστε την αυτοκαταχώριση εκτός εάν είναι πραγματικά απαραίτητη, επειδή τα εκτεθειμένα δεδομένα επισκεπτών θα μπορούσαν να χρησιμοποιηθούν για τη δημιουργία λογαριασμών πύλης και την επέκταση της πρόσβασης.
Οι διαχειριστές συστήματος θα πρέπει επίσης να ελέγξουν τα αρχεία καταγραφής παρακολούθησης συμβάντων Aura για ασυνήθιστα μοτίβα πρόσβασης, άγνωστες διευθύνσεις IP ή ερωτήματα για αντικείμενα που δεν πρέπει να είναι δημόσια και να ορίσουν μια επαφή ασφαλείας, ώστε το Salesforce να μπορεί να ειδοποιήσει γρήγορα το σωστό άτομο.
Η ShinyHunters αναλαμβάνει την ευθύνη
Σε μια ανάρτηση στον ιστότοπο διαρροής δεδομένων τους, ο ηθοποιός απειλών ShinyHunters ανέλαβε την ευθύνη για τις επιθέσεις κλοπής δεδομένων Salesforce Aura/Experience Cloud.
Η Mandiant Consulting επιβεβαίωσε σε δήλωση για το BleepingComputer ότι οι χάκερ χρησιμοποιούν το AuraInspector σε απόπειρες παραβίασης εταιρειών.
«Γνωρίζουμε ότι ένας παράγοντας απειλής προσπαθεί να διευκολύνει τις εισβολές κάνοντας κακή χρήση του εργαλείου ανοιχτού κώδικα AuraInspector για την αυτοματοποίηση των σαρώσεων ευπάθειας σε περιβάλλοντα Salesforce», δήλωσε ο Charles Carmakal, επικεφαλής τεχνολογίας της Mandiant.
“Συνεργαζόμαστε στενά με τη Salesforce και τους πελάτες μας για να παρέχουμε τους απαραίτητους κανόνες τηλεμετρίας και ανίχνευσης για τον μετριασμό του πιθανού κινδύνου. Είναι σημαντικό να σημειωθεί ότι η ανίχνευση δραστηριότητας σάρωσης στα αρχεία καταγραφής ενός οργανισμού δεν υποδηλώνει συμβιβασμό”, δήλωσε ο CTO.
Η ShinyHunters λέει ότι παραβίασε περίπου 100 εταιρείες υψηλού προφίλ, πολλές από αυτές στον τομέα της κυβερνοασφάλειας. Ο συνολικός αριθμός των οργανισμών που παραβιάστηκαν είναι κάπου μεταξύ 300 και 400, είπαν οι χάκερ στο BleepingComputer.
πηγή: BleepingComputer
Οι χάκερ είπαν στο BleepingComputer ότι τον Σεπτέμβριο του 2025, άρχισαν να διακυβεύουν εταιρείες με ανασφαλείς διαμορφώσεις ελέγχου πρόσβασης στο Experience Cloud για φιλοξενούμενους χρήστες. Επίσης, εντόπιζαν περιπτώσεις Aura σαρώνοντας το Διαδίκτυο για το /s/sfsites/ τελικό σημείο.
Λόγω ενός περιορισμού από το Salesforce, ο ηθοποιός των απειλών είπε ότι μπορούσαν να ρωτήσουν μόνο 2.000 εγγραφές τη φορά μέσω των πληροφοριών της εταιρείας GraphQL APIτο οποίο επιβράδυνε τη διαδικασία κλοπής δεδομένων. Ωστόσο, ο χάκερ βρήκε το sortBy παράμετρος, η οποία ισχυρίζονται ότι παρέκαμψε τον περιορισμό.
Όταν το AuraInspector κυκλοφόρησε τον Ιανουάριο για να βοηθήσει τους διαχειριστές να βρουν εσφαλμένες παραμέτρους, η ShinyHunters λέει ότι τροποποίησε τον κώδικα για πρόσθετη αναγνώριση. Η συμβουλευτική της Salesforce επιβεβαιώνει ότι η παραλλαγή του εργαλείου Mandiant του παράγοντα απειλής χρησιμοποιήθηκε “για την εκτέλεση μαζικής σάρωσης ιστότοπων Experience Cloud που αντιμετωπίζουν το κοινό”.
Στη συνέχεια, οι φορείς απειλών δημιούργησαν το δικό τους εργαλείο για την κλοπή δεδομένων, το οποίο η BleepingComputer έχει μάθει ότι χρησιμοποιεί την ακόλουθη συμβολοσειρά ως μέρος του παράγοντα χρήστη του:
Anthropic/RapeForceV2.01.39 (AGENTIC)
Αυτό το εργαλείο έχει παρόμοιο όνομα με το εργαλείο “RapeFlake” που χρησιμοποιείται κατά τις επιθέσεις κλοπής δεδομένων SnowFlake.
Η ShinyHunters ισχυρίζεται ότι αφού η Salesforce διόρθωσε το sortBy τέχνασμα που σημειώθηκε προηγουμένως από τη Mandiant, ανακάλυψαν μια νέα μέθοδο για να παρακάμψουν τον περιορισμό των ερωτημάτων των 2.000 εγγραφών, “και το εκμεταλλεύονται από τότε διακριτικά.”
Ο ηθοποιός των απειλών ισχυρίζεται ότι η Salesforce διόρθωσε τη μέθοδο που χρησιμοποιήθηκε για να παρακάμψει το όριο των 2.000 εγγραφών το Σαββατοκύριακο προτού δημοσιεύσει την προειδοποίηση, αλλά λέει ότι έκτοτε ανακάλυψαν μια ευπάθεια που επιτρέπει την κλοπή δεδομένων από παρουσίες Aura ακόμα και όταν έχουν ρυθμιστεί σωστά.
Το BleepingComputer δεν μπόρεσε να επιβεβαιώσει ανεξάρτητα αν αυτό είναι αλήθεια. Επικοινωνήσαμε με τη Salesforce σχετικά με αυτήν την υποτιθέμενη νέα επίθεση, αλλά η εταιρεία συνεχίζει να δηλώνει ότι δεν υπάρχει ευπάθεια στην πλατφόρμα της.
Ο ηθοποιός των απειλών είπε στο BleepingComputer ότι πιστεύουν ότι η απενεργοποίηση “Δημόσια Πρόσβαση” σε μια περίπτωση θα προστατεύσει τους πελάτες του Salesforce από αυτή τη νέα επίθεση. Ωστόσο, κάτι τέτοιο θα απενεργοποιήσει επίσης την πρόσβαση επισκεπτών και θα μετατρέψει τον ιστότοπο σε ιδιωτική πύλη.
Ο ηθοποιός της απειλής είπε στο BleepingComputer ότι οι νέες επιθέσεις χρησιμοποιούν τον ακόλουθο παράγοντα χρήστη, ο οποίος μοιάζει με έναν κανονικό παράγοντα χρήστη του προγράμματος περιήγησης.
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Chrome/120.0.0.0 Safari/537.36
Παραδόξως, ο ηθοποιός των απειλών είπε στο BleepingComputer ότι πιστεύουν ότι οι πελάτες του Salesforce μπορούν να προστατευτούν από αυτές τις επιθέσεις απενεργοποιώντας το “Δημόσια Πρόσβαση“σε μια περίπτωση.
Ωστόσο, κάτι τέτοιο θα απενεργοποιήσει επίσης την πρόσβαση επισκεπτών και θα μετατρέψει τον ιστότοπο σε ιδιωτική πύλη.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
