SchwachstellenHackerangriffeDatenschutz

Bedrohungsakteure scannen Salesforce Experience Cloud mit modifiziertem AuraInspector-Tool

Bedrohungsakteure scannen Salesforce Experience Cloud mit modifiziertem AuraInspector-Tool
Zusammenfassung

Bedrohungsakteure scannen massenhaft Salesforce Experience Cloud-Seiten mit modifiziertem AuraInspector-Tool. Betroffen sind Kunden mit fehlerhaft konfigurierten, öffentlich zugänglichen Experience Cloud-Seiten, die zu permissive Gastbenutzer-Einstellungen haben. Die Akteure nutzen eine erweiterte Version des Open-Source-Tools AuraInspector, um sensible Kundendaten zu extrahieren. Dies ist kritisch, da Salesforce selbst keine Plattform-Schwachstelle betont, sondern Fehlkonfigurationen als Hauptrisiko identifiziert und empfiehlt, Gastbenutzer-Berechtigungen zu überprüfen und APIs zu schützen.

Salesforce warnt vor einer Welle gezielter Angriffe auf seine Experience Cloud-Plattform. Cyberkriminelle nutzen eine speziell angepasste Version des Open-Source-Tools AuraInspector, um massenhaft öffentlich zugängliche Websites zu durchsuchen und Daten abzugreifen.

Das Original-AuraInspector ist ein von Googles Sicherheitsbereich Mandiant im Januar 2026 veröffentlichtes Werkzeug, das Security-Teams bei der Identifikation von Zugriffskontroll-Missbräuchen im Salesforce-Aura-Framework helfen soll. Die Angreifer haben jedoch eine erweiterte Variante entwickelt, die über bloße Scanning-Funktionen hinausgeht und tatsächlich Daten extrahieren kann.

Das Sicherheitsrisiko liegt in schlecht konfigurierten Gastzugriff-Profilen. Salesforce Experience Cloud-Websites bieten unauthentifizierten Besuchern über ein spezielles Gastzugriff-Profil Zugang zu Landingpages, FAQs und Knowledge-Artikeln. Sind diese Profile mit zu weitreichenden Berechtigungen ausgestattet, können Angreifer direkt auf CRM-Objekte zugreifen, ohne sich anzumelden.

Für erfolgreiche Angriffe müssen zwei Bedingungen erfüllt sein: Das Unternehmen nutzt das Gastzugriff-Profil und hat nicht die Konfigurationsrichtlinien von Salesforce beachtet. Das Unternehmen betont ausdrücklich, dass keine grundsätzliche Plattform-Schwachstelle vorliegt – das Problem liegt ausschließlich bei fehlerhaften Kundeneinstellungen.

Salesforce attributiert die Kampagne einer bekannten Bedrohungsgruppe, nennt diese aber nicht. Experten vermuten dahinter möglicherweise ShinyHunters (UNC6240), die bereits Salesforce-Umgebungen über Drittanbieter-Anwendungen wie Salesloft und Gainsight angegriffen haben.

Zum Schutz empfiehlt Salesforce seinen Kunden, ihre Experience Cloud-Gastzugriff-Einstellungen zu überprüfen, die Standard-Externe-Zugriffsberechtigung für alle Objekte auf “Privat” zu setzen, den API-Zugang für Gastbenutzer zu deaktivieren, die Sichtbarkeitseinstellungen zu beschränken und die Protokolle auf ungewöhnliche Abfragen zu überwachen.

Die Angreifer sammeln in ihren Scans primär persönliche Daten wie Namen und Telefonnummern – diese werden anschließend für gezielte Social-Engineering- und Voice-Phishing-Kampagnen missbraucht. Das Phänomen ist Teil eines breiteren Trends der identitätsbasierten Angriffsmuster in der Cyberkriminalität.

Ähnliche Artikel