Salesforce hat eine Sicherheitswarnung herausgegeben, nachdem Hacker gezielt den /s/sfsites/aura-API-Endpunkt auf fehlerhaft konfigurierten Experience-Cloud-Plattformen angreifen. Diese Angriffe ermöglichen es Gästen, auf mehr Daten zuzugreifen als beabsichtigt. Das Unternehmen betont, dass es sich nicht um eine Plattform-Schwachstelle handelt, sondern um Probleme bei der Konfiguration von Gastzugriffs-Berechtigungen durch Kunden.
Die Angreifer nutzen eine modifizierte Version von AuraInspector, einem von Mandiant entwickelten Open-Source-Auditing-Tool, das ursprünglich Administratoren helfen soll, Zugriffskontroll-Fehlkonfigurationen zu identifizieren. Mit dieser Variante führen die Hacker automatisierte Scans über Salesforce-Umgebungen durch.
Charles Carmakal, Technologie-Chef von Mandiant, bestätigte gegenüber BleepingComputer, dass Angreifer AuraInspector missbrauchen. Das Unternehmen arbeitet eng mit Salesforce zusammen, um Detection-Regeln bereitzustellen. Carmakal warnte jedoch davor, dass die bloße Erkennung von Scanning-Aktivitäten nicht zwingend auf einen erfolgreichen Kompromittierungsversuch hindeutet.
Die Extortionsgruppe ShinyHunters beansprucht für sich, ungefähr 100 hochkarätige Unternehmen, viele aus dem Cybersicherheitssektor, kompromittiert zu haben. Die Gesamtzahl der betroffenen Organisationen liegt Aussagen der Hacker zufolge zwischen 300 und 400.
Nach Angaben der Gruppe begannen die Angriffe im September 2025 mit der Kompromittierung von Unternehmen mit unsicheren Experience-Cloud-Zugriffskonfigurationen. Die Hacker scannten das Internet nach dem /s/sfsites/-Endpunkt, um anfällige Instanzen zu identifizieren.
Zunächst waren die Angreifer durch Salesforce-Beschränkungen limitiert, die gleichzeitige Abfrage auf 2.000 Datensätze pro GraphQL-API-Anfrage beschränkten. ShinyHunters fand jedoch den sortBy-Parameter, den sie als Umgehungsmechanismus nutzen konnten. Als Mandiant sein AuraInspector-Tool im Januar veröffentlichte, modifizierten die Hacker den Code für erweiterte Aufklärung und Massenscans öffentlich zugänglicher Experience-Cloud-Seiten.
Anschließend entwickelten die Angreifer ein eigenes Daten-Exfiltrations-Tool mit einem ähnlichen Namen wie das bei SnowFlake-Angriffen verwendete “RapeFlake”-Tool. ShinyHunters behauptet, nach Salesforce’s Behebung des sortBy-Tricks eine neue Bypass-Methode entdeckt zu haben und diese seitdem diskret auszunutzen.
Die Gruppe erklärt, dass Salesforce die Umgehungsmethode für das 2.000-Datensätze-Limit über das Wochenende vor der Veröffentlichung der Sicherheitswarnung behoben habe. Allerdings sagt die Gruppe, eine neue Sicherheitslücke gefunden zu haben, die Datendiebstahl selbst aus ordnungsgemäß konfigurierten Aura-Instanzen ermöglicht. BleepingComputer konnte dies nicht unabhängig bestätigen, und Salesforce bestreitet die Existenz solcher Plattform-Schwachstellen weiterhin.
Salesforce empfiehlt betroffenen Kunden, die Berechtigungen für Gastzugriffe zu überprüfen und das Prinzip der minimalen Berechtigung anzuwenden. Der höchste Einfluss hätte die Deaktivierung des Gastzugriffs auf öffentliche APIs und das Entfernen der API-Enabled-Einstellung aus dem Gastprofil. System-Administratoren sollten außerdem ihre Aura-Event-Monitoring-Logs auf ungewöhnliche Zugriffsmuster überprüfen und einen Sicherheitskontakt definieren, damit Salesforce schnell die richtige Person benachrichtigen kann.
BleepingComputer hat nicht unabhängig überprüfen können, ob die Aussagen der Hacker über die neue Lücke wahr sind. Salesforce bleibt dabei, dass keine Plattform-Sicherheitslücke existiert.