Mandiant, güvenlik ekiplerinin Salesforce Aura çerçevesinde kredi kartı numaraları, kimlik belgeleri ve sağlık bilgileri dahil olmak üzere hassas verileri açığa çıkarabilecek erişim kontrolü yanlış yapılandırmalarını tanımlamasına ve denetlemesine yardımcı olmak için tasarlanmış açık kaynaklı bir komut satırı aracı olan AuraInspector’ı piyasaya sürdü.
Araç, karmaşık paylaşım kurallarının ve çok düzeyli izin yapılandırmalarının genellikle yöneticiler için kör noktalar oluşturduğu Salesforce Deneyim Bulutu güvenliğindeki kritik bir boşluğu giderir.
AuraInspector, bu risklere maruz kalma durumlarının harici bir perspektiften tespitini otomatikleştirerek, saldırganların bunları istismar etmesinden önce düzeltme için eyleme geçirilebilir bilgiler sağlar.
Aura, Salesforce’un Lightning Experience’ının arkasında temel teknoloji olarak hizmet vererek modern tek sayfalı uygulama işlevselliği sağlar.
Bu mimari kullanıcı deneyimini geliştirirken aynı zamanda güvenlik karmaşıklıklarını da beraberinde getiriyor. Ön uç bileşenlerin arka uç verilerini almak için kullandığı Aura uç noktası, Salesforce Experience Cloud uygulamalarında en çok hedeflenen arayüzlerden biri haline geldi.
Mandiant’ın araştırması, yanlış yapılandırmaların sıklıkla konuk kullanıcılara hassas nesnelere yetkisiz erişim sağladığını ortaya koyuyor.
Kontrollü testlerde firma, yanlış yapılandırılmış Hesap nesnesi izinlerinin, kimliği doğrulanmamış kullanıcıların getItems gibi meşru Aura yöntemleri aracılığıyla binlerce kaydı almasına izin verebileceğini gösterdi.
Teknik Yetenekler
AuraInspector, yanlış yapılandırmaları tespit etmek için önceden manuel olarak uygulanan birkaç tekniği otomatikleştirir.
Araç, erişilebilir nesneleri numaralandırmak için getConfigData yöntemini test eder, ardından ağ trafiğini en aza indirmek amacıyla istek başına 100 eyleme kadar performans paketlemeyi optimize etmek için “eylem toplulaştırma” uygularken kayıtları almak için getItems yöntemini kullanır.
Önemli bir yenilik, Salesforce’un 2.000 kayıt alma sınırını aşmak için sortBy parametresinden yararlanmayı içeriyor.
Güvenlik araştırmacıları, farklı alanlardaki sonuçları artan veya azalan düzende sıralayarak yanlış yapılandırmaların tam etkisini gösterebilir ve standart yöntemlerin izin verdiğinden önemli ölçüde daha fazla kayıt alabilir.
Araç aynı zamanda nesnelerle ilişkili Kayıt Listelerini tanımlar, yönetim panellerine yönlendirebilecek erişilebilir Ana Sayfa URL’lerini algılar ve Salesforce’un varsayılan Konuk hesabı güvenliğini güçlendirerek kimlik doğrulamalı erişimi saldırganlar için giderek daha değerli hale getirmesi nedeniyle kritik öneme sahip kendi kendine kayıt durumunu kontrol eder.
Belki de en önemlisi, AuraInspector’ın sayfalandırma sınırlamalarının üstesinden gelmek için Salesforce’un GraphQL Aura denetleyicisini kullanan daha önce belgelenmemiş bir tekniği içermesidir.
Standart Aura API, kullanıcıları sorgu başına 2.000 kayıtla sınırlandırırken GraphQL denetleyicisi, imleç tabanlı gezinmeyi kullanarak gelişmiş sayfalandırma yoluyla bir nesneye bağlı tüm kayıtların tutarlı bir şekilde alınmasını sağlar.
Kimliği doğrulanmamış kullanıcıların varsayılan olarak erişebildiği GraphQL yaklaşımı, standartlaştırılmış kayıt alımı, alan keşfi için yerleşik iç gözlem ve yazma ayrıcalıklarını test etmek için mutasyon desteği sağlar.
Mandiant, kimliği doğrulanmamış herhangi bir kullanıcının bu yöntemle erişebildiği bir Spark örneği yönetim panosunu belirledi.
Mandiant, Salesforce ile bunun, izinler doğru şekilde yapılandırıldığında beklenen işlevselliği temsil ettiğini, ancak yanlış yapılandırılmış ortamlarda potansiyel veri açığa çıkmasını önemli ölçüde artırdığını doğruladı.
Tanımlanan sorunların tümü üründeki güvenlik açıklarından ziyade yapılandırma hatalarından kaynaklanmaktadır. Salesforce yöneticileri, kimliği doğrulanmamış kullanıcıların yalnızca genel işlevsellik için gerekli olan nesnelere ve alanlara erişebilmesini sağlamak için en az ayrıcalık ilkelerini uygulayarak Konuk Kullanıcı izinlerini düzenli olarak denetlemelidir.
İmleç, alınan en son kaydı gösteren Base64 kodlu bir dizedir, bu nedenle kolayca sıfırdan oluşturulabilir. 2.000 kayıttan oluşan gruplarla.
Paylaşım kurallarının ve kuruluş çapındaki varsayılanların gözden geçirilmesi, kimliği doğrulanmış kullanıcıların yalnızca açıkça izin verilen kayıtlara erişmesini sağlar.
Mandiant ayrıca, JavaScript dosyalarındaki gizli Salesforce referanslarını tanımlamak için bir Burp Suite BCheck ve Aura uç noktalarına yönelik POST isteklerini işaretlemek için bir Google SecOps UDM sorgusu dahil olmak üzere algılama kaynakları da sağlayarak kuruluşların potansiyel keşif faaliyetlerini izlemesine olanak sağladı.
Gereksiz kendi kendine kaydın kapatılması, yetkisiz hesap oluşturulmasını önlerken, Güvenlik Durumu Denetimi aracının kullanımı da dahil olmak üzere Salesforce’un Güvenlik Rehberi önerilerinin izlenmesi, sağlam yapılandırmaların korunmasına yardımcı olur.
AuraInspector, Mandiant’ın temel algılama yeteneklerini kullanıma sunduğu ve kötüye kullanımı önlemek için veri çıkarma işlevselliğini devre dışı bıraktığı GitHub’da hemen mevcuttur.
Araç, hedef örnekleri değiştirilmeden bırakan salt okunur işlemler aracılığıyla otomatik olarak Aura uç noktalarını keşfeder, Ana Sayfa ve Kayıt Listesi URL’lerini alır ve kendi kendine kayıt durumunu belirler.
Kapsamlı Salesforce güvenlik değerlendirmelerine ihtiyaç duyan kuruluşlar için Mandiant Consulting, yanlış yapılandırmaları belirlemek, güvenlik duruşlarını doğrulamak ve bulut ortamlarındaki hassas verileri korumaya yönelik en iyi uygulamalarla uyumluluğu sağlamak için özel hizmetler sunar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.