🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Salesforce alertou sobre um aumento na atividade de agentes de ameaças que visa explorar configurações incorretas em sites do Experience Cloud acessíveis ao público, fazendo uso de uma versão personalizada de uma ferramenta de código aberto chamada AuraInspector.
A atividade, segundo a empresa, envolve a exploração das configurações excessivamente permissivas de usuários convidados da Experience Cloud dos clientes para obter acesso a dados confidenciais.
“As evidências indicam que o ator da ameaça está aproveitando uma versão modificada da ferramenta de código aberto AuraInspector [...] para realizar varreduras em massa de sites do Experience Cloud voltados ao público”, disse Salesforce.
"Embora o AuraInspector original esteja limitado a identificar objetos vulneráveis, investigando os endpoints da API que esses sites expõem (especificamente o endpoint /s/sfsites/aura), o ator desenvolveu uma versão personalizada da ferramenta capaz de ir além da identificação para realmente extrair dados - explorando configurações excessivamente permissivas do usuário convidado."
AuraInspector refere-se a uma ferramenta de código aberto projetada para ajudar as equipes de segurança a identificar e auditar configurações incorretas de controle de acesso na estrutura Salesforce Aura. Foi lançado pela Mandiant, de propriedade do Google, em janeiro de 2026.
Os sites do Salesforce acessíveis publicamente usam um perfil de usuário convidado dedicado que permite que um usuário não autenticado acesse páginas iniciais, perguntas frequentes e artigos de conhecimento. No entanto, se este perfil for configurado incorretamente com permissões excessivas, ele poderá conceder aos usuários não autenticados acesso a mais dados do que o pretendido.
Como resultado, um invasor pode explorar essa falha de segurança para consultar diretamente objetos do Salesforce CRM sem fazer login. Para que esse ataque funcione, duas condições devem ser atendidas pelos clientes do Experience Cloud: eles estão usando o perfil de usuário convidado e não aderiram às orientações de configuração recomendadas do Salesforce.
“Neste momento, não identificamos nenhuma vulnerabilidade inerente à plataforma Salesforce associada a esta atividade”, disse Salesforce. “Essas tentativas se concentram nas configurações do cliente que, se não forem devidamente protegidas, podem aumentar a exposição”.
A empresa atribuiu a campanha a um grupo conhecido de atores de ameaças sem anotar seu nome, levantando a possibilidade de que poderia ser o trabalho de ShinyHunters (também conhecido como UNC6240), que tem um histórico de atingir ambientes Salesforce por meio de aplicativos de terceiros da Salesloft e Gainsight.
A Salesforce está recomendando que os clientes revisem as configurações de usuário convidado da Experience Cloud, garantam que o acesso externo padrão para todos os objetos esteja definido como Privado, desabilitem o acesso dos usuários convidados a APIs públicas, restrinjam as configurações de visibilidade para evitar que usuários convidados enumere membros internos da organização, desabilitem o autorregistro se não for necessário e monitorem logs para consultas incomuns.
“Essa atividade dos atores da ameaça reflete uma tendência mais ampla de segmentação ‘baseada na identidade’”, acrescentou. "Os dados coletados nessas varreduras, como nomes e números de telefone, são frequentemente usados para criar campanhas subsequentes de engenharia social direcionadas e de 'vishing' (phishing de voz)."
A atividade, segundo a empresa, envolve a exploração das configurações excessivamente permissivas de usuários convidados da Experience Cloud dos clientes para obter acesso a dados confidenciais.
“As evidências indicam que o ator da ameaça está aproveitando uma versão modificada da ferramenta de código aberto AuraInspector [...] para realizar varreduras em massa de sites do Experience Cloud voltados ao público”, disse Salesforce.
"Embora o AuraInspector original esteja limitado a identificar objetos vulneráveis, investigando os endpoints da API que esses sites expõem (especificamente o endpoint /s/sfsites/aura), o ator desenvolveu uma versão personalizada da ferramenta capaz de ir além da identificação para realmente extrair dados - explorando configurações excessivamente permissivas do usuário convidado."
AuraInspector refere-se a uma ferramenta de código aberto projetada para ajudar as equipes de segurança a identificar e auditar configurações incorretas de controle de acesso na estrutura Salesforce Aura. Foi lançado pela Mandiant, de propriedade do Google, em janeiro de 2026.
Os sites do Salesforce acessíveis publicamente usam um perfil de usuário convidado dedicado que permite que um usuário não autenticado acesse páginas iniciais, perguntas frequentes e artigos de conhecimento. No entanto, se este perfil for configurado incorretamente com permissões excessivas, ele poderá conceder aos usuários não autenticados acesso a mais dados do que o pretendido.
Como resultado, um invasor pode explorar essa falha de segurança para consultar diretamente objetos do Salesforce CRM sem fazer login. Para que esse ataque funcione, duas condições devem ser atendidas pelos clientes do Experience Cloud: eles estão usando o perfil de usuário convidado e não aderiram às orientações de configuração recomendadas do Salesforce.
“Neste momento, não identificamos nenhuma vulnerabilidade inerente à plataforma Salesforce associada a esta atividade”, disse Salesforce. “Essas tentativas se concentram nas configurações do cliente que, se não forem devidamente protegidas, podem aumentar a exposição”.
A empresa atribuiu a campanha a um grupo conhecido de atores de ameaças sem anotar seu nome, levantando a possibilidade de que poderia ser o trabalho de ShinyHunters (também conhecido como UNC6240), que tem um histórico de atingir ambientes Salesforce por meio de aplicativos de terceiros da Salesloft e Gainsight.
A Salesforce está recomendando que os clientes revisem as configurações de usuário convidado da Experience Cloud, garantam que o acesso externo padrão para todos os objetos esteja definido como Privado, desabilitem o acesso dos usuários convidados a APIs públicas, restrinjam as configurações de visibilidade para evitar que usuários convidados enumere membros internos da organização, desabilitem o autorregistro se não for necessário e monitorem logs para consultas incomuns.
“Essa atividade dos atores da ameaça reflete uma tendência mais ampla de segmentação ‘baseada na identidade’”, acrescentou. "Os dados coletados nessas varreduras, como nomes e números de telefone, são frequentemente usados para criar campanhas subsequentes de engenharia social direcionadas e de 'vishing' (phishing de voz)."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #atores #de #ameaças #fazem #varredura #em #massa #do #salesforce #experience #cloud #por #meio #da #ferramenta #aurainspector #modificada
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário