Selon Salesforce, des attaquants ciblent des sites basés sur Experience Cloud mal configurés, exposant des données à des utilisateurs invités au-delà de ce qui était prévu, tandis que le gang d’extorsion ShinyHunters affirme exploiter activement un nouveau bug pour voler des données depuis des instances. ⚠️

Salesforce Experience Cloud : campagne de vol de données liée à des sites mal configurés

Résumé

Salesforce a publié une alerte sur une campagne visant des sites Experience Cloud exposés publiquement et mal configurés, où le profil guest user donne accès à plus de données que prévu. L’activité vise notamment l’endpoint /s/sfsites/aura et s’appuie sur une version modifiée de l’outil AuraInspector, initialement développé par Mandiant pour auditer les permissions. Salesforce affirme qu’il ne s’agit pas d’une vulnérabilité native de la plateforme, mais d’un problème de configuration client.

Le groupe ShinyHunters revendique la campagne et dit avoir compromis entre 300 et 400 organisations, dont environ 100 “high-profile”, mais ce volume n’a pas été confirmé indépendamment. Mandiant confirme en revanche que des attaquants utilisent AuraInspector pour automatiser les scans et chercher des configurations excessivement permissives.

Ce qu’il se passe techniquement

Sur un site Experience Cloud public, les visiteurs anonymes héritent d’un profil invité (“guest user profile”). Si ce profil a des autorisations trop larges sur des objets ou champs CRM, un visiteur non authentifié peut interroger directement des objets Salesforce sans se connecter. Les attaquants mass-scannent alors les instances publiques pour identifier les portails mal configurés et extraire des données via l’API Aura. 2]{index=2}

Salesforce recommande comme mesure la plus efficace de désactiver l’accès guest aux API publiques et de retirer le droit API Enabled du profil invité. Il recommande aussi de rendre les accès externes Private, de désactiver Portal User Visibility et Site User Visibility, et de couper l’auto-inscription si elle n’est pas indispensable.

Position des parties

  • Salesforce : campagne réelle, mais liée à des mauvaises configurations de profils invités, pas à une faille intrinsèque de la plateforme.
  • Mandiant : confirme l’usage malveillant d’une version modifiée d’AuraInspector pour faciliter les intrusions et recommande d’utiliser la télémétrie/logs pour distinguer scan et compromission. Un scan seul ne prouve pas qu’une compromission a eu lieu.
  • ShinyHunters : prétend exploiter une “nouvelle faille” et avoir touché des centaines d’organisations. Cette affirmation n’est pas étayée publiquement à ce stade.

Risques

Une mauvaise configuration du guest profile peut exposer :

  • données CRM accessibles sans authentification,
  • informations utiles au vishing et au phishing ciblé,
  • bases permettant l’énumération d’utilisateurs internes,
  • portes d’entrée vers des comptes portail si l’auto-inscription est active.

TTPs (extraits)

  • Mass scanning de sites Experience Cloud publics
  • Requêtes vers /s/sfsites/aura
  • Usage détourné d’AuraInspector
  • Abus de guest user profiles trop permissifs
  • Collecte de données CRM sans authentification
  • Réemploi probable des données pour social engineering / vishing

IOC / éléments à surveiller

  • Requêtes inhabituelles vers /s/sfsites/aura
  • Pics d’accès sur des objets CRM qui ne devraient pas être publics
  • IP inconnues ou mass-scanning dans les logs Aura
  • Activité anormale sur les profils guest users
  • Signes d’énumération d’utilisateurs internes via portails publics

Actions immédiates recommandées

  1. Auditer les permissions du guest user profile et appliquer le moindre privilège.
  2. Désactiver API Enabled pour le profil invité.
  3. Passer les accès externes en Private.
  4. Désactiver Portal User Visibility et Site User Visibility.
  5. Désactiver l’auto-registration si non nécessaire.
  6. Examiner les Aura Event Monitoring logs et définir un Security Contact dans Salesforce.

Conclusion

À ce stade, le scénario le plus crédible est une campagne opportuniste à grande échelle exploitant des erreurs de configuration Experience Cloud, plutôt qu’un zero-day Salesforce confirmé. Le risque est néanmoins élevé pour les organisations exposant des portails publics avec des profils invités trop larges.

Type d’article et objectif: Alerte de sécurité signalant un ciblage d’instances mal configurées et la revendication d’une exploitation par un groupe d’extorsion.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/shinyhunters-claims-ongoing-salesforce-aura-data-theft-attacks/