Salesforce prévient qu’une campagne de menaces exploite des configurations invitées trop permissives d’Experience Cloud pour récolter des données à partir de portails publics.
Salesforce exhorte ses clients à revoir leurs configurations « invité » Experience Cloud alors que le groupe de cybercriminalité ShinyHunters revendique une nouvelle campagne impliquant le vol de données et l’extorsion liée aux environnements Salesforce exposés.
Le groupe a récemment publié des captures d’écran sur son site de fuite, affirmant des violations de « plusieurs centaines » d’organisations, dont environ 400 sites Web et environ 100 « entreprises de premier plan ». Ces affirmations s’inscrivent dans le cadre d’une campagne plus large ciblant les déploiements de Salesforce via des portails publics mal configurés, plutôt que des vulnérabilités de la plate-forme elle-même.
La publication de ShinyHunters, parue quelques heures après l’avertissement de Salesforce, a appelé la nouvelle campagne « Salesforce Aura Campaign ».
L’avertissement tombe dans le contexte d’incidents antérieurs attribués à ShinyHunters, qui, depuis la mi-2025, a ciblé les instances Salesforce par le biais de phishing, d’ingénierie sociale et d’abus d’intégrations. Dans certains cas, ces attaques ont conduit à la compromission de millions d’enregistrements.
Accès invité trop permissif
L’avertissement concerne la plateforme Salesforce Experience Cloud utilisée par les organisations pour créer des portails publics pour les clients, les partenaires et les communautés. Ces sites s’appuient sur un « profil d’utilisateur invité » partagé qui permet aux visiteurs non authentifiés de visualiser certaines informations.
Lorsqu’il est configuré correctement, ce profil expose uniquement les données minimales nécessaires au fonctionnement du site. Mais si les autorisations sont trop larges, les attaquants peuvent interroger directement les objets CRM sauvegardés, extrayant ainsi des données sans avoir besoin d’informations d’identification.
Selon Salesforce, les acteurs malveillants automatisent ce processus à l’aide d’une version modifiée de l’outil open source AuraInspector de Mandiant, qui sonde le point de terminaison de l’API « /s/sfsites/aura » exposé par les sites Experience Cloud. Sous sa forme modifiée par l’attaquant, l’outil va au-delà de la détection et extrait activement les données accessibles.
Jason Soroko, chercheur principal chez Sectigo, a décrit cette approche comme la « voie de moindre résistance » pour les attaquants. Plutôt que de concevoir des exploits sophistiqués, a-t-il déclaré, les acteurs malveillants ciblent de plus en plus les lacunes de configuration où « un seul paramètre invité trop permissif laisse les données accessibles à toute personne qui le demande ».
Selon l’avis, la campagne cible spécifiquement les environnements où trois conditions existent. Il s’agit notamment des instances avec des profils invités ayant des autorisations d’objet ou de champ excessives, l’accès par défaut à l’échelle de l’organisation pour les utilisateurs externes n’est pas défini sur privé et les utilisateurs invités sont autorisés à accéder aux API publiques. Ces conditions permettent aux attaquants d’interroger des données via les profils invités Experience Cloud.
Pourquoi les environnements Salesforce constituent des cibles tentantes
Les déploiements Salesforce sont particulièrement attractifs en raison des données sensibles qu’ils contiennent et de la complexité de leurs modèles d’accès.
« Les instances Salesforce contiennent souvent des données client très sensibles, notamment des informations d’identification et des secrets qui peuvent être utilisés pour des mouvements latéraux », a déclaré Vincenzo Lozzo, PDG et cofondateur de SlashID. Dans le même temps, a-t-il ajouté, l’architecture d’autorisations en couches de la plate-forme, y compris les profils, les ensembles d’autorisations, les règles de partage et les intégrations, n’est pas très bien comprise et peut faciliter une surexposition accidentelle.
La surface d’attaque s’étend encore davantage lorsque les organisations connectent Salesforce à des applications et API tierces. « Les relations de confiance et les informations d’identification de longue durée et mal surveillées donnent accès à des trésors de systèmes et de données », a déclaré Trey Ford, directeur de la stratégie et de la confiance chez BugCrowd. Une fois que les attaquants compromettent une intégration fiable, cela peut créer un risque en cascade dans l’ensemble de l’écosystème. Les conseils de Salesforce se concentrent sur le renforcement des contrôles de configuration responsables. Les étapes recommandées incluent l’audit des autorisations des utilisateurs invités, la désactivation de l’accès public à l’API lorsque cela est possible, la restriction de la visibilité des objets et l’application du moindre privilège.
