Киберпреступники массово сканируют сайты Salesforce Experience Cloud с помощью модифицированного инструмента AuraInspector
Компания Salesforce распространила экстренное предупреждение о резком всплеске активности киберпреступников, нацеленной на неправильно сконфигурированные и общедоступные сайты в среде Experience Cloud. Злоумышленники используют кастомную версию открытого инструмента аудита безопасности AuraInspector для массового сканирования и извлечения данных. По данным Salesforce, кампания эксплуатирует излишне разрешительные настройки профилей гостевых пользователей, что позволяет получать несанкционированный доступ к конфиденциальной информации без аутентификации. В компании подчеркивают, что проблема заключается не в уязвимости самой платформы, а в прямом несоблюдении клиентами рекомендаций по безопасной конфигурации.
В основе атаки лежит модифицированная версия инструмента AuraInspector, первоначально выпущенного компанией Mandiant, принадлежащей Google, в январе 2026 года. Легитимный инструмент предназначен для аудита и выявления ошибок контроля доступа в рамках Salesforce Aura. Однако злоумышленники разработали вредоносный вариант, который не только обнаруживает, но и активно использует ошибочные конфигурации для извлечения данных из объектов CRM. Атака нацелена на общедоступную конечную точку `/s/sfsites/aura`, предназначенную для гостевого доступа.
Для успешной атаки необходимо наличие двух критических ошибок конфигурации на сайте Experience Cloud. Во-первых, сайт должен использовать профиль гостевого пользователя для публичного доступа. Во-вторых, и это самое важное, данному гостевому профилю должны быть ошибочно назначены чрезмерные разрешения на уровне объектов и полей, что нарушает принцип наименьших привилегий. При совпадении этих условий злоумышленник может напрямую отправлять запросы и извлекать данные — например, записи о клиентах или внутренние документы — без каких-либо учетных данных.
Это создает серьезный риск утечки данных, проистекающий исключительно из ошибок конфигурации, а не изъянов в программном обеспечении. Инцидент наглядно демонстрирует извечную проблему облачной безопасности — модель разделенной ответственности. Salesforce обеспечивает безопасность самой облачной платформы, в то время как клиенты несут ответственность за безопасность в облаке, включая корректную настройку своих сред и строгое управление доступом.
Эксперты призывают администраторов срочно провести аудит всех публичных сайтов Experience Cloud, пересмотреть права гостевых профилей и строго следовать принципу наименьших привилегий. Рекомендуется полностью запретить гостевой доступ к чувствительным объектам и данным, оставив открытыми только необходимые для публичного контента элементы. Регулярные проверки конфигурации должны стать обязательной практикой.
