143/69 (IT) ประจำวันพฤหัสดีที่ 12 มีนาคม 2569
ทีมรักษาความปลอดภัยของ Salesforce (CSOC) เตือนว่าพบผู้ไม่หวังดีดำเนินการสแกนเว็บไซต์ที่ใช้ Salesforce Experience Cloud ที่เปิดให้เข้าถึงจากสาธารณะ โดยใช้เครื่องมือ AuraInspector เวอร์ชันที่ถูกดัดแปลงเพื่อค้นหาและเข้าถึงข้อมูลสำคัญจากระบบ AuraInspector เดิมเป็นเครื่องมือโอเพ่นซอร์สที่พัฒนาโดย Google/Mandiant สำหรับตรวจสอบความเสี่ยงด้านการเปิดเผยข้อมูลในแอปพลิเคชัน Salesforce Aura และ Experience Cloud โดยจำลองการเข้าถึงในฐานะผู้ใช้แบบ Guest เพื่อตรวจสอบการตั้งค่าการควบคุมสิทธิ์ที่อาจทำให้ข้อมูลสำคัญ เช่น Accounts, Contacts หรือ Leads ถูกเปิดเผยผ่าน API หรือ Aura endpoints
รายงานระบุว่าผู้โจมตีได้พัฒนาเครื่องมือเวอร์ชันพิเศษที่สามารถทำได้มากกว่าการตรวจหาช่องโหว่ โดยสามารถดึงข้อมูลออกจากระบบได้จริงผ่าน endpoint /s/sfsites/aura ในกรณีที่เว็บไซต์มีการตั้งค่าบัญชีผู้ใช้แบบ Guest อย่างไม่เหมาะสมหรือให้สิทธิ์มากเกินไป ส่งผลให้ข้อมูลในระบบ CRM อาจถูกเข้าถึงโดยไม่ได้รับอนุญาต ข้อมูลที่ถูกเปิดเผยอาจถูกนำไปใช้เพื่อดำเนินการโจมตีในขั้นต่อไป เช่น การทำ Social Engineering หรือการหลอกลวงผ่านโทรศัพท์ (vishing)
Salesforce ระบุว่าเหตุการณ์ดังกล่าวไม่ได้เกิดจากช่องโหว่ของแพลตฟอร์มโดยตรง แต่เกิดจากการตั้งค่าระบบของลูกค้าที่ไม่ปลอดภัย อย่างไรก็ตาม บริษัทได้แนะนำให้องค์กรที่ใช้งาน Experience Cloud ตรวจสอบการตั้งค่าของ Guest User Access ด่วน รวมถึงจำกัดการเข้าถึงสาธารณะ ปิดการใช้งาน API ที่ไม่จำเป็น และติดตามใช้งานระบบ ทั้งนี้ Salesforce ประเมินว่าการโจมตีดังกล่าวอาจเกี่ยวข้องกับกลุ่มอาชญากรรมไซเบอร์ที่เคยโจมตี Salesforce มาก่อน เช่น กลุ่ม ShinyHunters