Mandiant heeft AuraInspector uitgebracht, een open-source tool voor het identificeren van securityproblemen in Salesforce Experience Cloud. Het platform helpt beheerders misconfiguraties in het Aura-framework op te sporen die leiden tot ongeautoriseerde toegang tot gevoelige data.
Mandiant Offensive Security Services constateert regelmatig ernstige securityproblemen in Salesforce Experience Cloud-implementaties. Ongeautoriseerde gebruikers krijgen toegang tot creditcardnummers, identiteitsdocumenten en medische gegevens door verkeerde toegangscontrole-instellingen. Die misconfiguraties blijven vaak onopgemerkt totdat het te laat is. De nieuwe command-line tool AuraInspector moet beheerders en security teams helpen deze kwetsbaarheden vroegtijdig te detecteren.
GraphQL-techniek om limieten te omzeilen
AuraInspector biedt volgens Mandiant meer dan alleen detectie van standaard misconfiguraties. De tool bevat een voorheen ongedocumenteerde techniek die GraphQL gebruikt om standaard limieten voor het ophalen van records te omzeilen. Dit laat zien hoe aanvallers databases kunnen leegroven, zelfs wanneer basisbeveiliging actief is.
Het Aura-framework vormt de basis van Salesforce Lightning Experience en Experience Cloud. Het gebruikt een single-page application-model waarbij de front-end via een Aura-endpoint informatie ophaalt uit het backend-systeem. Die endpoint staat centraal in veel aanvallen op Salesforce-omgevingen.
Externe scanning zonder inloggen
De tool laat beheerders hun Salesforce-omgeving scannen zonder speciale toegang of inloggegevens. AuraInspector analyseert het Aura-endpoint en roept de getConfigData-methode aan, die een lijst teruggeeft van objecten in de backend-database.
Die functionaliteit is afhankelijk van de privileges van de authenticated context. De tool probeert verschillende aura-enabled methods aan te roepen via de message parameter van het endpoint. Op die manier identificeert het systeem welke objecten en data toegankelijk zijn voor ongeautoriseerde gebruikers.
Mandiant publiceert AuraInspector als open-source tool, beschikbaar voor iedereen. Securityteams en beheerders kunnen de tool direct inzetten om hun Salesforce Experience Cloud-omgevingen te auditen. De tool geeft actionable insights voor remediation, zodat organisaties kwetsbaarheden kunnen dichten voordat aanvallers ze uitbuiten.
Tip: De vele slachtoffers van Salesforce-aanvaller ShinyHunters