A Salesforce alertou seus clientes sobre ataques direcionados a sites com plataformas Experience Cloud mal configuradas, que concedem a usuários convidados acesso a um volume de dados maior do que o previsto.
O grupo de extorsão ShinyHunters afirma estar explorando ativamente uma nova falha para roubar informações dessas instâncias.
A empresa divulgou orientações específicas para ajudar seus clientes a se protegerem de ataques que exploram o endpoint API /s/sfsites/aura em instâncias Experience Cloud expostas e configuradas incorretamente.
Essa falha permite que usuários convidados acessem dados além do permitido.
Os atacantes estariam usando uma versão modificada do AuraInspector, uma ferramenta open source desenvolvida pela Mandiant para auditar configurações de controle de acesso no framework Aura da Salesforce.
Essa adaptação auxilia na identificação de permissões incorretas que podem expor dados sensíveis.
Em comunicado, a Salesforce destaca que a vulnerabilidade não está na plataforma em si, mas nas configurações feitas pelos clientes.
“Nossa investigação confirma que essa atividade está relacionada a configurações no perfil de usuário convidado do cliente, e não a uma falha de segurança da plataforma”, reforça a empresa.
Tecnicamente, sites Experience Cloud públicos usam o perfil de "guest user" para permitir acesso anônimo a dados destinados a serem públicos.
No entanto, configurações com permissões excessivas possibilitam que visitantes façam consultas diretas a objetos do Salesforce CRM sem necessidade de login.
Para mitigar o risco, a Salesforce recomenda auditar e restringir as permissões dos usuários convidados, aplicando o princípio do menor privilégio possível.
A ação mais eficaz, segundo a empresa, é desabilitar o acesso das guest users às APIs públicas e remover a permissão "API Enabled" desses perfis.
Além disso, o fornecedor sugere uma série de medidas imediatas para reforçar a segurança:
- Revisar e restringir as permissões dos usuários convidados ao mínimo necessário.
- Configurar os padrões de acesso org-wide para "Private" (privado) em acessos externos.
- Desativar as opções "Portal User Visibility" e "Site User Visibility" para impedir que visitantes identifiquem usuários internos.
- Bloquear a autoregistro de usuários, salvo quando estritamente necessário, para evitar criação de contas maliciosas que ampliem o acesso.
Administradores também devem monitorar os logs do Aura Event Monitoring em busca de acessos atípicos, endereços IP desconhecidos ou consultas a objetos que não deveriam estar acessíveis ao público.
É recomendável ainda designar um contato de segurança para que a Salesforce possa comunicar incidentes rapidamente.
O grupo ShinyHunters reivindicou a autoria dos ataques envolvendo a Experience Cloud em postagem no seu site de vazamento de dados.
Eles afirmam ter comprometido cerca de 100 empresas renomadas, muitas delas no setor de cibersegurança, totalizando entre 300 e 400 organizações afetadas.
Segundo o grupo, as incursões começaram em setembro de 2025, explorando configurações inseguras de controle de acesso para usuários convidados.
Também localizavam instâncias Aura por meio de varreduras no endpoint /s/sfsites/.
A limitação da API GraphQL da Salesforce, que permite consulta de até 2.000 registros por vez, atrasou o roubo de dados.
Porém, os hackers descobriram o parâmetro "sortBy", que contorna essa restrição.
Quando o AuraInspector foi lançado em janeiro para auxiliar na detecção dessas falhas, o ShinyHunters teria adaptado a ferramenta para realizar um mapeamento mais aprofundado das instâncias vulneráveis.
A Salesforce confirma que a versão modificada da ferramenta foi usada para escanear em massa sites Experience Cloud expostos.
Posteriormente, o grupo criou uma ferramenta própria para extrair dados, identificada por uma string específica em seu user agent, semelhante ao "RapeFlake", utilizado nos ataques SnowFlake.
Após a correção do truque com o "sortBy", os hackers afirmam ter descoberto outro método para burlar o limite de 2.000 registros e continuar o roubo discretamente.
Eles alegam que, mesmo depois dessa correção, encontraram uma nova vulnerabilidade que permite extração de dados mesmo em instâncias configuradas corretamente.
A Salesforce ainda não confirmou independentemente essa alegação e mantém a posição de que não há vulnerabilidade na plataforma.
Para essa nova ameaça, o ShinyHunters recomenda desabilitar o "Public Access" (acesso público) às instâncias, o que desativa o acesso dos usuários convidados e transforma o site em um portal privado.
Curiosamente, o agente de ameaça afirma que o novo ataque utiliza um user agent semelhante ao de navegadores comuns, dificultando a detecção.
Em resumo, a recomendação para os clientes Salesforce é revisar rigorosamente as configurações dos perfis de usuários convidados, limitar suas permissões e, quando possível, restringir o acesso público para minimizar riscos de exposição e ataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...