Salesforce警告用户,针对Experience Cloud客户的威胁行为者活动有所增加,这些客户意外启用了过于宽松的访客用户配置。
Salesforce强调,这些攻击并非其产品存在已知漏洞造成的,而是在设置过程中配置错误导致的。
对这些错误配置的利用似乎是ShinyHunters组织所为,该组织与一个松散关联的黑客网络一起,在2025年夏季通过社会工程攻击活动造成了混乱。其之前的活动通过语音钓鱼电话针对Salesforce客户的数据加载器应用程序,该应用用于批量移动数据记录。
在周末发布的声明中,Salesforce表示:"我们的网络安全运营中心一直在监控已知威胁行为者组织的攻击活动。证据表明,威胁行为者正在利用开源工具Aura Inspector的修改版本进行大规模扫描面向公众的Experience Cloud站点,该工具最初由Mandiant开发。"
"虽然原始的Aura Inspector仅限于通过探测这些站点暴露的API端点来识别易受攻击的对象,特别是/s/sfsites/aura端点,但攻击者已开发出该工具的自定义版本,能够超越识别功能实际提取数据,利用过于宽松的访客用户设置。"
Salesforce团队解释说,在可公开访问的Experience Cloud站点中,访问者将共享访客用户配置文件,通常允许他们查看作为未认证用户可能合理公开的数据。
如果这些配置文件配置了增强权限,使访问者或网络犯罪分子能够在未登录的情况下直接查询Salesforce客户关系管理对象,就会出现问题。这种设置不明智,与Salesforce建议的配置指导相反。
Mandiant确认它知道这个问题,并表示正在积极与Salesforce合作。
Salesforce没有直接指向ShinyHunters本身,而是该组织通过The Register声称,在几个月的时间里,它已经攻击了近400个网站和100家科技公司,包括AMD、LastPass、Okta、Snowflake和Sony等。
KnowBe4首席信息安全官顾问Javvad Malik评论道:"这是简单配置错误在组织中造成严重破坏的又一案例。我们看到云环境中的许多小配置错误导致数据暴露。这就是为什么在整个组织中建立强大的安全文化很重要,让每个人都在保护数据安全方面发挥作用,特别是在云服务方面,许多人经常假设云服务是安全的。所有设置都需要定期审查,确保遵循最小权限原则,并建立强大的监控和警报机制。"
下一步措施
在其指导中,Salesforce表示Experience Cloud访客用户应被限制为面向公众的站点正常运行所需的绝对最少对象和字段。
它建议立即审核访客用户权限并严格执行"最小权限"访问模型。安全团队应质疑列出的每个对象权限并删除任何显然不需要的内容,一个好的开始方式是切断所有权限,然后从那里重新构建权限。
然后,应在整个组织中将所有对象的默认外部访问设置为私有,这应该得到验证和确认。
接下来,需要阻止访客用户访问公共应用程序编程接口,以关闭对未认证查询的Aura端点。安全团队还应锁定门户和站点用户可见性设置,以阻止访客枚举内部人员。最后,如果您的站点不需要未认证访问者创建自己的账户,请禁用自注册功能。
Salesforce还建议安全团队审查与Aura相关的事件监控日志,寻找奇怪的访问模式、针对私有对象的查询、来自异常IP范围的流量等。如果您怀疑遭到入侵,Salesforce支持团队随时为您提供建议,更详细的指导可通过链接的咨询通知获得。
Q&A
Q1:ShinyHunters是什么组织?它做了什么?
A:ShinyHunters是一个威胁行为者组织,与松散关联的黑客网络一起,在2025年夏季通过社会工程攻击活动造成混乱。该组织声称在几个月时间里攻击了近400个网站和100家科技公司,包括AMD、LastPass、Okta、Snowflake和Sony等知名企业。
Q2:Salesforce Experience Cloud的安全问题是产品漏洞造成的吗?
A:不是。Salesforce强调这些攻击并非其产品存在已知漏洞造成的,而是客户在设置过程中配置错误导致的。问题出现在访客用户配置文件被设置了过于宽松的权限,使攻击者能够在未登录情况下直接查询Salesforce客户关系管理对象。
Q3:如何防范这类配置错误导致的安全风险?
A:Salesforce建议立即审核访客用户权限并严格执行"最小权限"访问模型,将访客用户限制为网站正常运行所需的绝对最少对象和字段。同时应将所有对象的默认外部访问设置为私有,阻止访客用户访问公共API,并定期审查事件监控日志寻找异常访问模式。
