Google’ın sahip olduğu güvenlik sağlayıcısı Mandiant, kuruluşların Salesforce ortamlarındaki potansiyel olarak yıkıcı erişim kontrolü yanlış yapılandırmalarını tespit etmelerine yardımcı olmayı amaçlayan açık kaynaklı bir komut satırı aracı yayınladı.
AuraInspector olarak adlandırılan araç, son iki yıl içinde düzinelerce yüksek profilli kuruluşta kimlik bilgileri, sağlık bilgileri ve kimlik belgeleri de dahil olmak üzere hassas müşteri verilerini açığa çıkarmak için suistimal edilen yapılandırma hatalarının tespitini otomatikleştiriyor.
Salesforce Aura çerçeve uygulamalarını harici bir perspektiften tarar ve yetkisiz kullanıcıların korumalı kayıtlara erişmesine izin verebilecek yanlış yapılandırmaları işaretler.
Mandiant, Saldırı Güvenlik Hizmetleri biriminin, karmaşık bir izin sistemine sahip olan Salesforce Deneyim Bulutu’ndaki yanlış yapılandırmaları sıklıkla tespit ettiğini söyledi.
Erişim kontrolündeki bu boşluklar çok geç olana kadar fark edilmeyebilir ve yetkisiz kullanıcıların hassas iş verilerine erişmesine olanak tanıyabilir.
Mandiant, platformun daha önce açıklanmayan bir teknik olan normal 2000 kayıt alma sınırını aşmak için Salesforce GraphQL uygulama programlama arayüzünü (API) kullandı.
Mandiant’ın açık kaynaklı komut satırı aracı, kimliği doğrulanmamış kullanıcıların kimlik bilgileri olmadan nelere erişebileceğini simüle ederek otomatik olarak tarama yapar.
Otomatik olarak Aura uç noktalarını keşfeder, erişilebilir Salesforce nesnelerinin listesini alır ve konuk kullanıcılara Hesap, İlgili Kişi ve Müşteri Adayı kayıtları gibi hassas verilere aşırı izin verilip verilmediğini test eder.
Ayrıca AuraInspector, kayıtların yetkisiz olarak görüntülenmesine veya değiştirilmesine izin verebilecek Kayıt Listesi bileşenlerini tanımlar ve üçüncü taraf modüller için açıkta kalan yönetim panellerini keşfeder.
Araç, tek istekte birden fazla yapılandırmayı verimli bir şekilde test etmek için eylem yığınlaştırmayı kullanarak ağ yükünü azaltır.
Salesforce, profillerin en az gerekli ayrıcalıklara sahip olmasını sağlamak için yöneticilerin konuk kullanıcı izinlerini denetlemesini önerir.
Kimliği doğrulanmış kullanıcıların yalnızca kendilerine açıkça izin verilen kayıtlara ve nesnelere erişebilmesini sağlamak için paylaşım kurallarının ve kuruluş çapındaki varsayılanların gözden geçirilmesi de Salesforce tarafından tavsiye edilmektedir.
Salesforce tarafından önerilen diğer adımlar arasında yetkisiz hesap oluşturulmasını önlemek için kendi kendine kaydın devre dışı bırakılması yer alır ve AuraInspector bu özelliğin etkin olup olmadığını belirleyebilir.
AuraInspector GitHub’da yayınlandı ve resmi olarak desteklenen bir Google ürünü değil.
AuraInspector’ın halka açık sürümü, kötüye kullanımı önlemek için veri çıkarma yeteneklerini kasıtlı olarak hariç tutuyor ve işlemleri, hedef sistemleri değiştirmeyen salt okunur algılamayla sınırlandırıyor.