威胁行为者利用修改版AuraInspector工具大规模扫描Salesforce体验云

Salesforce公司警告称，威胁行为者正在利用开源工具AuraInspector的定制版本，大规模扫描公开可访问的体验云站点，以利用配置错误获取敏感数据。

据该公司称，这种攻击活动涉及利用客户过度宽松的体验云访客用户配置来获取对敏感数据的访问权限。

Salesforce表示："证据表明，威胁行为者正在利用开源工具AuraInspector的修改版本对面向公众的体验云站点执行大规模扫描。虽然原始的AuraInspector仅限于通过探测这些站点公开的API端点（特别是/s/sfsites/aura端点）来识别易受攻击的对象，但攻击者开发了该工具的自定义版本，能够超越识别功能，实际提取数据——利用过度宽松的访客用户设置。"

AuraInspector工具简介

AuraInspector是一个开源工具，旨在帮助安全团队识别和审计Salesforce Aura框架内的访问控制配置错误。该工具由谷歌旗下的Mandiant公司于2026年1月发布。

公开可访问的Salesforce站点使用专用的访客用户配置文件，使未经身份验证的用户能够访问登录页面、常见问题解答和知识文章。然而，如果这个配置文件配置错误并具有过多权限，它可能会授予未经身份验证的用户访问超出预期的更多数据。

攻击机制分析

因此，攻击者可以利用这个安全漏洞直接查询Salesforce CRM对象，而无需登录。要使此攻击生效，体验云客户必须满足两个条件：他们正在使用访客用户配置文件，并且没有遵循Salesforce的推荐配置指导。

Salesforce表示："目前，我们尚未发现与此活动相关的Salesforce平台固有漏洞。这些尝试专注于客户配置设置，如果没有正确保护，可能会增加暴露风险。"

该公司将这次攻击归因于一个已知的威胁行为者组织，但没有透露其名称，这引发了可能是ShinyHunters（又称UNC6240）所为的可能性，该组织有通过Salesloft和Gainsight等第三方应用程序针对Salesforce环境的历史。

安全防护建议

Salesforce建议客户审查其体验云访客用户设置，确保所有对象的默认外部访问权限设置为私有，禁用访客用户对公共API的访问，限制可见性设置以防止访客用户枚举内部组织成员，如果不需要则禁用自注册功能，并监控日志以发现异常查询。

Salesforce补充道："这种威胁行为者活动反映了'基于身份'目标攻击的更广泛趋势。在这些扫描中收集的数据，如姓名和电话号码，通常用于构建后续有针对性的社会工程和'语音钓鱼'攻击。"

Q&A

Q1：什么是AuraInspector工具？它是如何被威胁行为者利用的？

A：AuraInspector是由谷歌旗下Mandiant公司开发的开源工具，原本用于帮助安全团队识别Salesforce Aura框架内的访问控制配置错误。威胁行为者开发了该工具的修改版本，不仅能识别漏洞，还能实际提取数据，利用过度宽松的访客用户设置进行大规模扫描攻击。

Q2：Salesforce体验云为什么会成为攻击目标？

A：公开可访问的Salesforce站点使用访客用户配置文件，允许未认证用户访问某些内容。如果这个配置文件设置过度宽松，具有过多权限，攻击者就能在不登录的情况下直接查询Salesforce CRM对象，获取超出预期的敏感数据。

Q3：企业应该如何防护此类攻击？

A：Salesforce建议企业审查体验云访客用户设置，将所有对象的默认外部访问权限设为私有，禁用访客用户的公共API访问，限制可见性设置防止枚举内部成员，必要时禁用自注册功能，并持续监控日志发现异常查询活动。