Salesforce warnte vor kurzem über eine Zunahme von schädlichen Aktivitäten, die auf öffentliche Websites mit Experience Cloud gebaut. Die beschriebene Technik nutzt keinen Service-Ausfall selbst, sondern zu permissive Konfigurationen im Gäste-Nutzer-Profil, die viele Organisationen halten, um öffentliche Seiten zu veröffentlichen - und dass, wenn nicht richtig angepasst, Angreifer können Informationen erhalten, die für die Öffentlichkeit nicht offen sein sollten.
Im Zentrum der Nachrichten ist eine modifizierte Version eines Open Source-Tools namens AuraInspector, entwickelt, um Konfigurationen im Aura-Rahmen von Salesforce zu prüfen. Das ursprünglich von Mandiant gestartete Tool dient der Identifizierung von Objekten und Punkten, die von öffentlichen Endpunkten wie / s / sfsites / aura ausgesetzt sind. Die besorgniserregende Sache ist, dass laut Salesforce schädliche Akteure dieses Dienstprogramm angepasst haben, um Massen-Sweep zu automatisieren und sich von bloßer Erkennung zu Datenextraktion zu bewegen, wenn zu laxa-Konfigurationen gefunden werden.
Dies bedeutet, dass es nicht eine "Verwundbarkeit" auf der per se-Plattform ist, sondern Konfigurationen, die nicht authentifizierten Benutzern erlauben, auf CRM-Objekte zu konsultieren. Die Salesforce hat ausdrücklich darauf hingewiesen, dass sie bisher keinen systembedingten Ausfall festgestellt haben: Versuche richten sich an Anpassungen von Kunden, die nicht den von der Firma selbst veröffentlichten Sicherheitsempfehlungen folgen. Die offizielle Erklärung und Indikationen können auf dem Salesforce-Blog und in Ihrer öffentlichen Bekanntmachung auf der Sache gelesen werden Hier. und auf Ihrer Statusseite Hier..
Um Mechaniker zu verstehen: Die öffentlichen Websites von Experience Cloud nutzen ein spezielles "guest user" Profil, um öffentliche Inhalte wie Hilfeeinträge, FAQs oder Landingpages anzuzeigen. Dieses Profil muss streng limitierte Genehmigungen haben. Wenn Lese- oder Zugriff auf öffentliche APIs diesem Profil versehen werden, könnte ein automatisierter Scanner Objekte auflisten und sogar Felder mit sensiblen Daten ohne Authentifizierung extrahieren.
Das praktische Risiko ist nicht nur die sofortige Exfiltration von Namen oder Telefonen; Salesforce warnt, dass solche Informationen der Rohstoff von späteren Angriffen sein können. Offensichtlich dienen harmlose Daten dazu, Social Engineering-Kampagnen und Sprachangriffe zu verfeinern, die oft effektiver sind, wenn der Angreifer bereits überprüfbare Details über Mitarbeiter oder Kunden hat. In diesem Sinne passt die gemeldete Tätigkeit zu dem, was das Unternehmen als breiteres Muster von "identitätsbasierten" Angriffen qualifiziert.
Salesforce hat mehrere Minderungsmaßnahmen empfohlen, die jeder Administrator sofort überprüfen sollte: Einschränkung des Zugangs des Gastbenutzers, Festlegung der Standardsichtbarkeit der Objekte in privaten, Abbau des öffentlichen Zugangs zu APIs von Gastprofilen und Steuerung der Selbstregulierung, wenn nicht unbedingt erforderlich. Das Unternehmen hat Anleitungen mit konkreten Schritten zur Prüfung und Stärkung dieser Konfigurationen veröffentlicht in ihren Ressourcen.
Das ursprüngliche Werkzeug, auf dem diese Angriffe basieren, wurde von Mandiant veröffentlicht; die Existenz einer modifizierten Version durch bösartige Schauspieler zeigt, wie die Dienstprogramme zur Verbesserung der Sicherheit auch für beleidigende Zwecke verwendet werden können, wenn sie in die falschen Hände fallen. Wer das öffentliche Tool überprüfen möchte, kann das offizielle Repository und die Publikationshinweise von Mandiant konsultieren in GitHub und auf Mandiants Webseite Hier..
Salesforce setzt die Kampagne auf eine Gruppe bekannter Bedrohungen zurück, ohne sie ausdrücklich zu benennen und eröffnet die Möglichkeit der Beziehung zu Operationen, die bereits frühere Angriffe auf CRM-Ökosysteme durch Drittanbieter-Anwendungen gerichtet haben. In jedem Fall ist die Botschaft für Manager und Sicherheitsbeamte klar: Überprüfung der Zugangspolitik, Überwachung ungewöhnlicher Konsultationen und Anwendung des Prinzips der Mindestrechte auf allen öffentlich zugänglichen Profilen.
Bei technischen und sicherheitstechnischen Geräten, die Maßnahmen priorisieren müssen, ist es nicht erforderlich, auf einen Eingriff zu warten, um zu reagieren. Eine Prüfung von Gastprofilberechtigungen, die Deaktivierung öffentlicher APIs für dieses Profil und die Überarbeitung von Zugangsschleifen sind oft hocheffiziente technische Maßnahmen. Zusätzlich zu den Empfehlungen von Salesforce ist es angebracht, spezifische Warnungen in Detektionssysteme zu integrieren, um Massen-Scanmuster oder Konsultationen zu erfassen, die versuchen, CRM-Objekte aufzulisten.
Kurz gesagt, dieser Vorfall ist eine Erinnerung, dass die Sicherheit nicht nur eine Frage der Patches und Anbieter-Updates ist: es hängt auch von lokalen Richtlinien und Konfigurationen ab. Automatisierte Werkzeuge können helfen, Schwächen zu identifizieren, aber sie können auch von Gegnern wiederverwendet werden, "so eine sorgfältige Konfiguration und ständige Überwachung bleiben die besten Barrieren für solche Kampagnen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...