Mandiantは、Salesforce Auraフレームワーク上に構築されたSalesforce Experience Cloud環境におけるアクセス制御の設定ミスを、セキュリティチームや管理者が特定するのに役立つ新しいオープンソースのコマンドラインツール「AuraInspector」を公開しました。
このツールは、外部の視点から、権限のないユーザーが財務情報、本人確認情報、医療情報などの機密レコードにアクセスできてしまう可能性のある、露出したデータ経路を見つけることに重点を置いています。
Salesforce Auraは、SalesforceのLightning Experience UIおよびExperience Cloudサイトを支えるフレームワークです。フロントエンドがバックエンドのコントローラを呼び出してオブジェクトのレコードを取得するために使用するAuraエンドポイントに依存しています。
Salesforceの共有ルールやオブジェクト権限は複数のレイヤーで設定できるため、管理者は微妙な設定ミスを見つけるのに苦労することがよくあります。
その結果、Auraエンドポイントは、オブジェクトの列挙、レコードの一覧取得、見落とされた機能の悪用を試みる攻撃者にとって頻繁に狙われる対象となります。Mandiantの調査は、アクセス制御が弱い場合に悪用され得る複数の手法を明らかにしています。
これには、Auraメソッドを用いて大量のレコードセットを取得すること、並べ替えとページネーションを活用して通常の2,000件制限を回避すること、単一リクエストで複数オブジェクトを照会する一括「boxcar」アクション、そして管理用インターフェースや機密データのビューを露出させる可能性のあるRecord Listビューや「home」URLの発見が含まれます。
チームはまた、Auraコントローラが自己登録のステータスやURLを露出させ得ることも文書化しており、自己登録が誤設定されている場合、攻撃者が認証済みアカウントを取得できる可能性があります。
重要な発見の一つは、GraphQLのAuraコントローラを使用して、誤設定されたオブジェクトに紐づくすべてのレコードを取得できる点で、従来のAuraメソッドよりも優れたページネーションとイントロスペクションを備えています。
Salesforceは、権限が正しく設定されている場合は脆弱性ではないと確認しているものの、既存の設定ミスがある場合の影響を大幅に増大させます。
AuraInspectorは、これらの手作業の手法を自動化します。Auraエンドポイントを検出し、homeおよびレコードリストのURLを列挙し、自己登録の状態を確認し、オブジェクトの露出を監査しつつ、読み取り専用の操作に限定します。
管理者が自社のExperience Cloudインスタンスに対してこのツールを実行することで、過度に許可されたゲストアクセスや認証済みアクセスをより容易に発見できます。
Googleがテスト中に観測したところによれば、その結果は、共有ルール、ゲストユーザー権限、または自己登録設定が過度に広範になっている箇所をチームが特定するのに役立ち、悪用される前にアクセス制御を厳格化することで、より迅速な是正を可能にします。
翻訳元: https://cyberpress.org/aurainspector-open-source-salesforce-aura-security-tool/