Ancaman Serangan Massal Salesforce Experience Cloud dengan AuraInspector Modifikasi

Salesforce mengeluarkan peringatan terkait peningkatan aktivitas pelaku ancaman yang memanfaatkan konfigurasi Experience Cloud yang keliru di situs publik dengan menggunakan versi modifikasi dari alat sumber terbuka bernama AuraInspector.

Menurut Salesforce, para pelaku ini mengeksploitasi konfigurasi profil pengguna tamu Experience Cloud yang terlalu permisif sehingga memungkinkan akses tidak sah ke data sensitif.

"Bukti menunjukkan pelaku ancaman menggunakan versi modifikasi dari AuraInspector open-source [...] untuk melakukan pemindaian massal terhadap situs Experience Cloud yang dapat diakses publik," ujar Salesforce.

AuraInspector sendiri adalah alat yang dirancang untuk membantu tim keamanan mengidentifikasi dan mengaudit kesalahan konfigurasi kontrol akses dalam framework Salesforce Aura. Alat ini dirilis oleh Mandiant yang kini dimiliki Google pada Januari 2026.

Bagaimana Modifikasi AuraInspector Memungkinkan Ekstraksi Data

Versi asli AuraInspector hanya mampu mengidentifikasi objek yang rentan dengan memeriksa endpoint API yang diekspos situs, khususnya endpoint /s/sfsites/aura. Namun, pelaku ancaman telah mengembangkan versi khusus yang tidak hanya mendeteksi kerentanan tetapi juga dapat mengambil data secara langsung dengan mengeksploitasi pengaturan tamu yang terlalu longgar.

Hal ini memungkinkan pelaku untuk mengajukan kueri langsung ke objek CRM Salesforce tanpa harus login, asalkan dua kondisi terpenuhi:

1. Pengguna Experience Cloud menggunakan profil pengguna tamu.
2. Konfigurasi pengaturan tidak mengikuti panduan keamanan resmi Salesforce.

Pengguna tamu dalam Experience Cloud biasanya diberikan akses terbatas ke halaman informasi publik seperti landing page, FAQ, dan artikel pengetahuan. Namun jika profil ini diberikan izin berlebihan, dapat membuka celah akses data yang lebih luas dari yang dimaksudkan.

Salesforce Tegaskan Bukan Kerentanan Platform

Dalam komunikasinya, Salesforce menegaskan, "Saat ini kami belum menemukan adanya kerentanan bawaan pada platform Salesforce terkait aktivitas ini." Mereka menekankan bahwa masalah ini berasal dari konfigurasi pelanggan yang tidak tepat, yang jika tidak diamankan dengan baik dapat meningkatkan risiko kebocoran data.

Walaupun tidak menyebutkan nama kelompok pelaku secara eksplisit, kemiripan modus operandi mengarah pada kelompok yang dikenal seperti ShinyHunters (UNC6240), yang sebelumnya pernah menyerang lingkungan Salesforce melalui aplikasi pihak ketiga seperti Salesloft dan Gainsight.

Rekomendasi Salesforce untuk Mitigasi Risiko

Salesforce memberikan sejumlah langkah mitigasi untuk pelanggan Experience Cloud, antara lain:

• Memeriksa dan memperketat pengaturan pengguna tamu.
• Menetapkan Default External Access untuk semua objek ke Private.
• Menonaktifkan akses pengguna tamu ke API publik.
• Membatasi pengaturan visibilitas agar pengguna tamu tidak dapat melihat anggota organisasi internal.
• Menonaktifkan fitur self-registration jika tidak diperlukan.
• Memantau log untuk mendeteksi kueri tidak biasa.

Perusahaan juga mengingatkan bahwa data yang diperoleh dari pemindaian ini, seperti nama dan nomor telepon, sering dipakai untuk membangun kampanye rekayasa sosial dan vishing (penipuan melalui panggilan suara) yang ditargetkan.

Analisis Redaksi

Menurut pandangan redaksi, kasus ini menggarisbawahi pentingnya pengelolaan konfigurasi keamanan yang benar pada platform cloud, terutama yang bersifat publik seperti Salesforce Experience Cloud. Meski platform secara teknis aman, human error dalam konfigurasi menjadi celah besar yang dapat mengancam kerahasiaan data perusahaan dan pelanggan.

Perkembangan alat seperti AuraInspector yang dimodifikasi menunjukkan bahwa pelaku ancaman semakin canggih dalam mengotomatisasi pencarian celah dan eksploitasi. Ini menuntut perusahaan untuk tidak hanya mengandalkan keamanan platform, tetapi juga secara rutin memeriksa dan mengaudit pengaturan akses internal mereka.

Di masa depan, para pengguna Salesforce Experience Cloud harus waspada dengan tren serangan berbasis identitas dan meningkatkan kesadaran terkait potensi serangan vishing yang bisa berawal dari kebocoran data akibat konfigurasi keliru. Melakukan edukasi karyawan dan pemantauan aktivitas sistem menjadi kunci untuk mencegah kerugian lebih lanjut.

Untuk terus mengikuti perkembangan ancaman keamanan ini, pembaca dianjurkan memantau update resmi Salesforce dan berita keamanan siber terkini.