Yeni bir güvenlik tavsiyesi, Salesforce kullanıcılarını özelleştirilmiş örneklerle, satış verilerini açığa çıkarabilecek yaygın programlama hatalarını ve yanlış yapılandırmaları kontrol etmeleri konusunda uyarıyor.
Sorunun merkezinde, şirketlerin Salesforce örneklerine işlevsellik eklemesine ve geliştiricilerin Salesforce AppExchange pazarı için uygulamalar oluşturmasına olanak tanıyan Java benzeri bir araç olan Apex programlama dili yer alıyor. Ancak veri güvenliği firması Varonis’in güvenlik uzmanları, aracı kullanırken yapılan basit hatalar ve yanlış yapılandırmaların, kurumsal Salesforce uygulamalarının güvenliğini zayıflatan güvenlik açıklarına yol açabileceğini söylüyor.
Varonis araştırmacıları, çok sayıda devlet kuruluşunun ve şirketinin Salesforce Apex kodlarını özelleştirdiğini veya bunlara veri sızdıran, veri bozulmasına izin veren veya bir saldırganın iş işlevlerini kesintiye uğratmasına izin veren özellikler eklediğini keşfetti. Değerlendirmeyi yürüten Varonis’teki kıdemli güvenlik araştırmacısı Nitay Bachrach, risk altındaki verilerin telefon numaraları, ev adresleri ve SSN’ler gibi hassas bilgilerin yanı sıra kullanıcı adları ve şifreler gibi kimlik bilgilerini de içerdiğini söylüyor.
“Bazı durumlarda, istismar çok çetrefilli ve şirket içinde geliştirdiğimiz teknikler gerektiriyordu; diğerlerinde ise basit bir gözden kaçırmaydı; konuk kullanıcı kodu sebepsiz yere çalıştırabildi ve bu da hassas verileri sızdırdı.” diyor. “Paylaşılan sorumluluk modelinde, kullanıcılar kod yazmayı seçebilirler ancak aynı zamanda kodun güvenli olduğundan emin olmaktan da sorumludurlar. Salesforce, kullanıcılar tarafından Salesforce örneklerine yüklenen Apex kodundan sorumlu değildir.”
Salesforce Hesapları ve “Gevşek” İzinler
Varonis en son güvenlik firmasıdır. yaygın yanlış yapılandırmalara karşı uyarıda bulunun Genellikle gevşek izinlerle çalışan Salesforce sitelerinde ve uygulamalarında. SaaS güvenlik firması AppOmni, dahili Salesforce örneklerinde kullanılan özel Apex kodunun ve Lightning Communities gibi diğer bileşenlerin güvenlik incelemesinin yapılmamasının birleşimi, sitelerin ve bulut uygulamalarının savunmasız kalmasına yol açtı. 2021’de bir araştırma makalesinde belirtildi.
Şu anda Reddit’te bulunan güvenlik araştırmacısı Charan Akiri, 2023 yılında Salesforce Apex’in yanlış yapılandırmalar 100’den fazla web sitesindeki verilere erişilmesine izin verdi devlet kurumlarına ve bankalar ve hastaneler gibi büyük şirketlere aittir.
Salesforce’ta beş yıldan fazla bir süre ürün güvenliği alanında çalışan AppOmni’nin baş teknoloji sorumlusu ve kurucu ortağı Brian Soby, platformun izinlerin aşılmasını kolaylaştırması nedeniyle sorunun büyük olasılıkla yaygın olduğunu söylüyor.
“Varsayılan olarak Apex her türlü veriye erişebilir ve arayan kullanıcının bu verilere erişmesine izin verilip verilmemesi önemli değildir” diyor. “Böylece bir VisualForce sayfasına veya bir Apex’e çok sınırlı bir kullanıcı çağrısı yapabilirsiniz… [for] Apex’in yükseltilmiş izinlerle çalışması nedeniyle kendilerinin elde edemediği veriler.”
Apex Yapılandırmasının Tehlikeleri
Apex sorunlarının temelinde, geliştiricinin bir Apex sınıfını “paylaşımlı” mı yoksa “paylaşımsız” olarak mı tanımladığı yer alıyor. Varonis, tavsiye belgesinde kafa karıştırıcı bir şekilde “paylaşmadan” tanımının bu ikisinden daha tehlikeli olduğunu ve Apex kodunun kullanıcının iznini göz ardı etmesine, herhangi bir kaydı değiştirmesine ve bu değişiklikleri gerçekleştirmesine izin verdiğini belirtti.
Danışma belgesinde “‘Paylaşmadan’ çalışan (kullanıcının izinleri göz ardı edilerek) Apex sınıfları, genellikle düzgün işlevsellik için gerekli olan güçlü ve önemli bir yetenektir” ifadesine yer verildi. “Ancak büyük güç, büyük sorumluluğu da beraberinde getirir. Bu mod, riski artırır ve özellikle misafir veya harici kullanıcılara atandığında dikkatli kullanılmalıdır.”
“Paylaşma olmadan” ayarlandığında hizmet, genellikle Bozuk Nesne Düzeyinde Yetkilendirme (BOLA) kusurları olarak adlandırılan, güvenli olmayan doğrudan nesne referanslarına (IDOR) karşı savunmasızdır. 2023 yılında Dünya Çapında Açık Uygulama Güvenliği Projesi (OWASP) API güvenlik sorunlarının güncellenmiş ilk 10 listesini yayınladı IDOR’u API’ler için en büyük risk olarak listeledi. “Paylaşmadan” özelliği aynı zamanda Apex kodu aracılığıyla veritabanı enjeksiyon saldırıları gibi daha geleneksel kusurlara da izin verir.
Salesforce, Varonis araştırması hakkında doğrudan yorum yapmazken şirket, güvenliğin en önemli konu olduğunu vurguladı. Ağustos 2023’te şirket en iyi 20 sayıyı yayınladı Bunu AppExchange pazarında yayınlanan Apex uygulamalarına yönelik güvenlik taramaları sırasında keşfetti. Paylaşım ihlalleri listede 3. sırada yer aldı.
Salesforce sözcüsü Dark Reading’e yaptığı açıklamada, “Bizim için hiçbir şey müşteri verilerinin güvenliğinden daha önemli değil” dedi. “Salesforce’un, Lightning Platformu üzerinde oluşturulan veya onunla entegre edilen uygulamaları denetlerken tespit ettiği ortak güvenlik sorunları konusunda müşterilere yol gösteren güvenli kodlama yönergelerimize ek olarak, şunları da sunuyoruz: [several] hizmetler” için uygulamaların ve verilerin güvenliğinin sağlanmasıdedi sözcü.
Salesforce Uygulamanızı Nasıl Korursunuz?
Varonis, Salesforce geliştiricilerinin mümkün olduğunca “paylaşımsız” yapılandırmadan kaçınmasını, kullanıcı tarafından sağlanan tüm girişleri kontrol etmesini ve konuk kullanıcıların ve harici kullanıcıların Apex sınıflarına erişimlerine izin verirken dikkatli olmalarını önerir.
Varonis’ten Bachrach, tüm özel ve üçüncü taraf Apex yazılımlarının güvenlik değerlendirmesinin yapılmasının kritik öneme sahip olduğunu söylüyor.
“Tüm Apex sınıflarının güvenliğini sağlamanızı öneriyoruz ancak konuk kullanıcılar tarafından çalıştırılabilenlere, ardından müşteriler veya iş ortakları gibi harici aktörler tarafından çalıştırılabilenlere öncelik vereceğiz” diyor. “Kuruluşların en iyi uygulamaları izlemesi ve aynı zamanda erişimi takip etmesi gerekiyor. Kodu yazarken ve Apex sınıflarına erişimi yönetirken en az ayrıcalık ilkesini akılda tutmalılar.”
AppOmni’den Soby, şirketlerin geliştiricilerinin Salesforce uygulamalarını ve örneklerini güvenli bir şekilde oluşturma ve yönetme ve iyi güvenlik davranışını nasıl uygulayacakları konusunda eğitildiğinden emin olmaları gerektiğini söylüyor. Şirketlerin özel izin gerektirmeyen belirli sayfalara bağlantılar göndererek onlara (teorik olarak) saldırılar için bir fırlatma rampası sağladığını gördü.
“Salesforce bunu varsayılan olarak bu şekilde ayarlamadı; bu, müşterinin kesinlikle kendi ayağına ateş etmesidir, çünkü ya ne yaptıklarını bilmiyorlardı ya da olan bitenin sonuçlarını tam olarak anlamamışlardı. çok karmaşık bir yapılandırma süreci” diyor. “Ya da ‘Kısa yolu kullanacağız ve belki kimse fark etmeyecek’ diyorlar ve bu arada bazı senaryo kedileri GitHub’da buldukları kodu çalıştırıyor ve tüm satış tahminlerinizi mahvediyor.”