Salesforce追蹤針對用戶的ShinyHunters攻擊活動

Salesforce警告用戶，針對Experience Cloud客戶的威脅行為者活動有所增加，這些客戶意外啟用了過于寬松的訪客用戶配置。

Salesforce強調，這些攻擊并非其產品存在已知漏洞造成的，而是在設置過程中配置錯誤導致的。

對這些錯誤配置的利用似乎是ShinyHunters組織所為，該組織與一個松散關聯的黑客網絡一起，在2025年夏季通過社會工程攻擊活動造成了混亂。其之前的活動通過語音釣魚電話針對Salesforce客戶的數據加載器應用程序，該應用用于批量移動數據記錄。

在周末發布的聲明中，Salesforce表示："我們的網絡安全運營中心一直在監控已知威脅行為者組織的攻擊活動。證據表明，威脅行為者正在利用開源工具Aura Inspector的修改版本進行大規模掃描面向公眾的Experience Cloud站點，該工具最初由Mandiant開發。"

"雖然原始的Aura Inspector僅限于通過探測這些站點暴露的API端點來識別易受攻擊的對象，特別是/s/sfsites/aura端點，但攻擊者已開發出該工具的自定義版本，能夠超越識別功能實際提取數據，利用過于寬松的訪客用戶設置。"

Salesforce團隊解釋說，在可公開訪問的Experience Cloud站點中，訪問者將共享訪客用戶配置文件，通常允許他們查看作為未認證用戶可能合理公開的數據。

如果這些配置文件配置了增強權限，使訪問者或網絡犯罪分子能夠在未登錄的情況下直接查詢Salesforce客戶關系管理對象，就會出現問題。這種設置不明智，與Salesforce建議的配置指導相反。

Mandiant確認它知道這個問題，并表示正在積極與Salesforce合作。

Salesforce沒有直接指向ShinyHunters本身，而是該組織通過The Register聲稱，在幾個月的時間里，它已經攻擊了近400個網站和100家科技公司，包括AMD、LastPass、Okta、Snowflake和Sony等。

KnowBe4首席信息安全官顧問Javvad Malik評論道："這是簡單配置錯誤在組織中造成嚴重破壞的又一案例。我們看到云環境中的許多小配置錯誤導致數據暴露。這就是為什么在整個組織中建立強大的安全文化很重要，讓每個人都在保護數據安全方面發揮作用，特別是在云服務方面，許多人經常假設云服務是安全的。所有設置都需要定期審查，確保遵循最小權限原則，并建立強大的監控和警報機制。"

下一步措施

在其指導中，Salesforce表示Experience Cloud訪客用戶應被限制為面向公眾的站點正常運行所需的絕對最少對象和字段。

它建議立即審核訪客用戶權限并嚴格執行"最小權限"訪問模型。安全團隊應質疑列出的每個對象權限并刪除任何顯然不需要的內容，一個好的開始方式是切斷所有權限，然后從那里重新構建權限。

然后，應在整個組織中將所有對象的默認外部訪問設置為私有，這應該得到驗證和確認。

接下來，需要阻止訪客用戶訪問公共應用程序編程接口，以關閉對未認證查詢的Aura端點。安全團隊還應鎖定門戶和站點用戶可見性設置，以阻止訪客枚舉內部人員。最后，如果您的站點不需要未認證訪問者創建自己的賬戶，請禁用自注冊功能。

Salesforce還建議安全團隊審查與Aura相關的事件監控日志，尋找奇怪的訪問模式、針對私有對象的查詢、來自異常IP范圍的流量等。如果您懷疑遭到入侵，Salesforce支持團隊隨時為您提供建議，更詳細的指導可通過鏈接的咨詢通知獲得。

Q&A

Q1：ShinyHunters是什么組織？它做了什么？

A：ShinyHunters是一個威脅行為者組織，與松散關聯的黑客網絡一起，在2025年夏季通過社會工程攻擊活動造成混亂。該組織聲稱在幾個月時間里攻擊了近400個網站和100家科技公司，包括AMD、LastPass、Okta、Snowflake和Sony等知名企業。

Q2：Salesforce Experience Cloud的安全問題是產品漏洞造成的嗎？

A：不是。Salesforce強調這些攻擊并非其產品存在已知漏洞造成的，而是客戶在設置過程中配置錯誤導致的。問題出現在訪客用戶配置文件被設置了過于寬松的權限，使攻擊者能夠在未登錄情況下直接查詢Salesforce客戶關系管理對象。

Q3：如何防范這類配置錯誤導致的安全風險？

A：Salesforce建議立即審核訪客用戶權限并嚴格執行"最小權限"訪問模型，將訪客用戶限制為網站正常運行所需的絕對最少對象和字段。同時應將所有對象的默認外部訪問設置為私有，阻止訪客用戶訪問公共API，并定期審查事件監控日志尋找異常訪問模式。