حذرت شركة Salesforce من نشاط متزايد لمهاجمين سيبرانيين يستغلون ثغرات في إعدادات Experience Cloud العامة، وذلك باستخدام نسخة معدلة من أداة مفتوحة المصدر تُعرف باسم AuraInspector. هذا النشاط يركز على استغلال إعدادات المستخدم الضيف ذات الصلاحيات المفرطة، ما يتيح الوصول إلى بيانات حساسة دون الحاجة لتسجيل الدخول.
كيف يعمل الهجوم؟
الأداة الأصلية AuraInspector التي أطلقتها شركة Mandiant في يناير 2026 كانت مخصصة لمساعدة فرق الأمن في تحديد أخطاء التحكم بالوصول عبر واجهات برمجية مثل /s/sfsites/aura. لكن المهاجمين طوروا نسخة معدلة تتجاوز مرحلة الكشف لتصل إلى مرحلة استخراج البيانات فعلياً، مستغلين إعدادات الضيف غير الآمنة.
في حال كان ملف المستخدم الضيف مهيأً بصلاحيات واسعة، يمكن للمهاجمين الاستعلام مباشرة عن كائنات CRM داخل منصة Salesforce، ما يفتح الباب أمام تسريب بيانات مثل الأسماء وأرقام الهواتف.
خلفيات وتداعيات الحملة
أوضحت Salesforce أن هذه الهجمات لا ترتبط بثغرة في المنصة نفسها، بل بإعدادات العملاء الذين لم يلتزموا بإرشادات التكوين الآمن. ورغم عدم تسمية المجموعة المسؤولة، رجحت تقارير أن تكون ShinyHunters (UNC6240) وراء الحملة، وهي مجموعة معروفة باستهداف بيئات Salesforce عبر تطبيقات طرف ثالث مثل Salesloft وGainsight.
وقد نشر حساب Dark Web Informer على منصة X لقطات تزعم أن ShinyHunters اخترقت “عدة مئات” من الشركات ضمن ما يُعرف بـ”حملة Salesforce Aura”.
توصيات أمنية عاجلة
أصدرت Salesforce مجموعة من التوصيات لعملائها لتقليل المخاطر:
- ضبط الإعداد الافتراضي للوصول الخارجي لجميع الكائنات على وضع Private.
- تعطيل وصول المستخدمين الضيوف إلى واجهات APIs العامة.
- تقييد إعدادات الرؤية لمنع الضيوف من استعراض أعضاء المؤسسة الداخلية.
- تعطيل خاصية التسجيل الذاتي إذا لم تكن ضرورية.
- مراقبة السجلات لرصد الاستعلامات غير المعتادة.
البعد الأوسع للهجمات القائمة على الهوية
أشارت الشركة إلى أن هذه الحملة تعكس اتجاهاً أوسع نحو استهداف الهوية، حيث تُستخدم البيانات المستخرجة مثل الأسماء وأرقام الهواتف في حملات الهندسة الاجتماعية والتصيد الصوتي (vishing). هذا النوع من الهجمات يضاعف خطورة التسريبات، إذ لا يقتصر على سرقة البيانات بل يمتد إلى استغلالها في عمليات احتيال لاحقة.
