AuraInspector ist ein quelloffenes Tool, das Sicherheitsteams dabei helfen soll, Fehlkonfigurationen bei der Zugriffskontrolle innerhalb des Salesforce-Aura-Frameworks zu erkennen und zu prüfen. Es wurde von dem zu Google gehörenden Unternehmen Mandiant im Januar 2026 veröffentlicht.

Öffentlich erreichbare Salesforce-Seiten verwenden ein eigenes Gastnutzer-Profil, das nicht angemeldeten Nutzern den Zugriff auf Landingpages, FAQ-Seiten und Wissensartikel ermöglicht. Ist dieses Profil jedoch mit überzogenen Berechtigungen ausgestattet, kann es unauthentifizierten Nutzern Zugang zu mehr Daten gewähren als vorgesehen. Ein Angreifer könnte diese Schwäche ausnutzen, um Salesforce-CRM-Objekte direkt und ohne Anmeldung abzufragen.

Damit der Angriff funktioniert, müssen laut Salesforce zwei Bedingungen erfüllt sein: Der Kunde nutzt das Gastnutzer-Profil und hat die empfohlene Konfigurationsanleitung von Salesforce nicht befolgt. “Zum jetzigen Zeitpunkt haben wir keine der Salesforce-Plattform innewohnende Schwachstelle im Zusammenhang mit dieser Aktivität festgestellt”, erklärte das Unternehmen.

Salesforce ordnete die Kampagne einer bekannten Angreifergruppe zu, ohne deren Namen zu nennen. Damit bleibt die Möglichkeit offen, dass es sich um ShinyHunters (auch als UNC6240 bekannt) handeln könnte – eine Gruppe, die in der Vergangenheit Salesforce-Umgebungen über Drittanbieter-Anwendungen von Salesloft und Gainsight ins Visier nahm.

Das Unternehmen empfiehlt seinen Kunden, die Gastnutzer-Einstellungen der Experience Cloud zu überprüfen. Konkret rät Salesforce dazu, den standardmäßigen externen Zugriff für alle Objekte auf “Privat” zu setzen, den Zugriff von Gastnutzern auf öffentliche APIs zu deaktivieren und die Sichtbarkeitseinstellungen so einzuschränken, dass Gastnutzer keine internen Organisationsmitglieder auflisten können. Zudem solle die Selbstregistrierung deaktiviert werden, sofern nicht benötigt, und die Protokolle sollten auf ungewöhnliche Abfragen überwacht werden.

Nach Einschätzung von Salesforce spiegelt diese Aktivität einen umfassenderen Trend hin zu “identitätsbasiertem” Vorgehen wider. Die bei den Scans gesammelten Daten wie Namen und Telefonnummern würden häufig dazu genutzt, anschließend gezielte Social-Engineering- und “Vishing”-Kampagnen (Telefon-Phishing) aufzubauen.