Massenscans auf Salesforce: Angreifer missbrauchen AuraInspector : Manipuliertes Open-Source-Tool nutzt Fehlkonfigurationen in Experience Cloud aus

Das ursprünglich legitime Analysewerkzeug AuraInspector wurde entwickelt, um Sicherheitsverantwortlichen dabei zu helfen, Fehlkonfigurationen in Zugriffskontrollen des Salesforce-Aura-Frameworks zu erkennen. Das Tool wurde im Januar 2026 von der Google Sicherheitstochter Mandiant veröffentlicht.

In seiner ursprünglichen Form analysiert das Werkzeug lediglich öffentlich zugängliche Programmierschnittstellen und prüft, welche Objekte potenziell erreichbar sind. Konkret werden dabei Endpunkte wie /s/sfsites/aura abgefragt.

Angreifer haben diese Funktionalität jedoch deutlich erweitert. Salesforce erklärt dazu: „Hinweise zeigen, dass der Angreifer eine modifizierte Version des Open-Source-Tools AuraInspector verwendet, um öffentliche Experience-Cloud-Seiten massenhaft zu scannen.“

Während das Originalwerkzeug lediglich potenziell verwundbare Objekte identifiziert, geht die manipulierte Variante deutlich weiter. „Der Angreifer hat eine eigene Version entwickelt, die nicht nur identifiziert, sondern tatsächlich Daten extrahiert – indem übermäßig großzügige Gastbenutzerberechtigungen ausgenutzt werden“, so Salesforce.

Risiko durch falsch konfigurierte Gastkonten

Öffentlich erreichbare Experience-Cloud-Seiten verwenden standardmäßig ein spezielles Gastbenutzerprofil. Dieses erlaubt nicht authentifizierten Besuchern beispielsweise den Zugriff auf:

• Landingpages
• Häufig gestellte Fragen
• Wissensdatenbanken

Problematisch wird es jedoch, wenn Administratoren diesem Gastprofil zu weitreichende Berechtigungen erteilen. In solchen Fällen können Angreifer direkt auf interne Salesforce-CRM-Objekte zugreifen, ohne sich anmelden zu müssen. Damit ein solcher Angriff funktioniert, müssen zwei Voraussetzungen erfüllt sein:

• Verwendung eines Gastbenutzerprofils in Experience Cloud
• Nichtbeachtung der empfohlenen Sicherheitskonfigurationen von Salesforce

Salesforce betont, dass es sich nicht um eine Sicherheitslücke handelt: „Zum jetzigen Zeitpunkt haben wir keine Schwachstelle in der Salesforce-Plattform identifiziert. Die Aktivitäten zielen auf Kundenkonfigurationen ab, die bei unzureichender Absicherung zu einer erhöhten Exposition führen können.“

Möglicher Zusammenhang mit ShinyHunters

Die Kampagne wird laut Salesforce einem bekannten Bedrohungsakteur zugeschrieben, dessen Name jedoch nicht offiziell genannt wurde. Beobachter halten es für möglich, dass die Gruppe ShinyHunters beziehungsweise UNC6240 dahintersteht.

Diese Gruppe hat in der Vergangenheit mehrfach Salesforce-Umgebungen angegriffen, unter anderem über Drittanbieteranwendungen wie Salesloft oder Gainsight.

Zusätzliche Hinweise liefern Screenshots, die der Dienst Dark Web Informer auf X veröffentlichte. Darin behaupten ShinyHunters, im Rahmen der sogenannten Salesforce-Aura-Kampagne „mehrere hundert Unternehmen“ kompromittiert zu haben.

Konkrete Sicherheitsmaßnahmen

Salesforce empfiehlt betroffenen Organisationen, ihre Experience-Cloud-Konfiguration umgehend zu überprüfen. Besonders wichtig sind dabei folgende Maßnahmen:

• Standardzugriff für externe Objekte auf „Private“ setzen
• Gastzugriff auf öffentliche Programmierschnittstellen deaktivieren
• Sichtbarkeit interner Organisationsmitglieder für Gäste einschränken
• Selbstregistrierung deaktivieren, sofern sie nicht benötigt wird
• Protokolle auf ungewöhnliche Abfragen und Zugriffsmuster überwachen

Die Kampagne zeigt laut Salesforce zudem einen größeren Trend im Cyberraum: „Diese Aktivitäten spiegeln einen breiteren Trend zu identitätsbasierten Angriffen wider.“ Die bei den Scans gesammelten Daten – etwa Namen oder Telefonnummern – dienen häufig als Grundlage für nachgelagerte Social-Engineering-Angriffe oder Voice-Phishing-Kampagnen. Damit wird aus einer scheinbar harmlosen Fehlkonfiguration schnell ein Einstiegspunkt für weitreichende Angriffe auf Unternehmen.