TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Salesforce ออกคำเตือนถึงลูกค้าเกี่ยวกับการโจมตีที่มุ่งเป้าไปยัง Experience Cloud ที่ตั้งค่า Guest User ไม่รัดกุม โดยกลุ่มแฮกเกอร์ ShinyHunters ออกมาอ้างว่าเป็นผู้อยู่เบื้องหลังและกำลังใช้ช่องโหว่ใหม่ในการขโมยข้อมูลอยู่ในขณะนี้
Salesforce เปิดเผยว่าแฮกเกอร์กำลังมุ่งเป้าโจมตี /s/sfsites/aura API endpoint บนระบบ Experience Cloud ที่มีการตั้งค่า Guest User Profile ผิดพลาด ซึ่งทำให้ผู้เข้าชมที่ไม่ได้ยืนยันตัวตนสามารถ query ข้อมูลจาก Salesforce CRM objects ได้โดยตรง โดยผู้โจมตีใช้เครื่องมือ AuraInspector เวอร์ชันดัดแปลงจากเครื่องมือ open-source ที่ Mandiant พัฒนาขึ้นเพื่อช่วยผู้ดูแลระบบตรวจสอบปัญหา access control ภายใน Aura framework ทาง Salesforce ย้ำว่าปัญหานี้ไม่ใช่ช่องโหว่ของแพลตฟอร์ม แต่เกิดจากการตั้งค่าของลูกค้าเอง
กลุ่ม ShinyHunters ระบุว่าเริ่มโจมตีองค์กรที่ตั้งค่า access control สำหรับ Guest User ไม่รัดกุมมาตั้งแต่เดือนกันยายน 2025 โดยสแกนหา Aura instances จาก /s/sfsites/ endpoint บนอินเทอร์เน็ต Mandiant ยืนยันว่าพบแฮกเกอร์ใช้เครื่องมือ AuraInspector ในการ automate vulnerability scans ข้าม Salesforce environments จริง กลุ่มแฮกเกอร์อ้างว่าได้เจาะข้อมูลองค์กรระดับ high-profile ไปแล้วประมาณ 100 แห่ง และจำนวนรวมทั้งหมดอยู่ที่ 300-400 องค์กร โดยหลายแห่งอยู่ในอุตสาหกรรม cybersecurity เอง นอกจากนี้ กลุ่มแฮกเกอร์ยังอ้างว่าหลังจาก Salesforce แก้ไขวิธีการ bypass ข้อจำกัดการ query ข้อมูล 2,000 records ผ่าน GraphQL API ไปแล้ว พวกเขาได้ค้นพบวิธีใหม่และใช้งานอยู่อย่างลับๆ
Salesforce แนะนำให้ลูกค้าดำเนินการป้องกันโดยด่วน ได้แก่ ตรวจสอบและลดสิทธิ์ของ Guest User ให้เหลือเท่าที่จำเป็น, ตั้งค่า org-wide defaults เป็น Private สำหรับ external access, ปิด Portal User Visibility และ Site User Visibility เพื่อป้องกันไม่ให้ Guest User ดูรายชื่อผู้ใช้งานภายใน, ปิด self-registration หากไม่จำเป็น รวมถึงปิด Guest Access สำหรับ Public API และลบการตั้งค่า API Enabled ออกจาก Guest Profile ผู้ดูแลระบบควรตรวจสอบ Aura Event Monitoring logs เพื่อหาพฤติกรรมการเข้าถึงที่ผิดปกติด้วย
